USD 63.83 ЕВРО 70.67

Вредоносное ПО под Linux развивается

Экономика

21.11.12

Вредоносное ПО под Linux развивается

Злоумышленники могут превратить любой сайт на Linux-сервере в средство распространения вредоносного ПО

ПО заражает машины под управлением 64-битных версий Linux с веб-прокси nginx
на борту. Оно ведет себя как руткит, пряча себя от глаз администраторов. При
соединении браузера с веб-сайтом под управлением зараженной системы с nginx,
средствами HTML iframe производится незаметный редирект на вредоносные сайты,
атакующие машины пользователей.

Марта Янус, аналитик Лаборатории Касперского, заявила, что данный образец
вредоносного ПО больше похож на прототип и скорее всего еще находится в
разработке.

«Оно было разработано специально под версию ядра Linux  2.6.32-5-amd64?
Последнего ядра в дистрибутиве Debian Squeezy», — пишет она в корпоративном
блоге Securelist. «Размер бинарного пакета составляет более 500 Кбайт. Такой
размер объясняется тем, что код еще не был до конца оптимизирован, не была
удалена отладочная информация. Предполагаю, что ПО все еще находится в стадии
разработки, так как не все функции не до конца реализованы или работают не в
полную силу».

Вредоносное ПО, попадающее на устройства пользователей путем скрытых
загрузок может попытаться воспользоваться уязвимостями в устаревшем ПО. Обычно
бреши в безопасности находятся в веб-браузерах, Java- и Flash-плагинах, а также
непосредственно в ОС.

Экспериментальное вредоносное ПО под Linux при выборе жертвы не сильно
крутит носом: оно не угоняет какой-либо определенный веб-сайт, не нацелено на
определенный скриптовый язык или платформу. Оно просто захватывает все сайты на
зараженном сервере под управлением популярнейшей веб-прокси nginx. Руткитная
часть зарывается в ядро и предотвращает обнаружение вредоносной активности
администраторами и антивирусными программами. Таким образом, подозрения
возникают только после первых заявлениях об угонах сайтов и заражениях
пользовательских устройств.

«Механизм iframe-нинъекции крайне интересен: вредоносное ПО замещает собой
системную функцию tcp_sendmsg ответственную за создание TCP-пакетов. Благодаря
этому вредоносные iframe’ы внедряются в HTTP-траффик путем прямой модификации
исходящих TCP-пакетов», — пояснила Янус.

Янус пришла к выводу, что прототипное вредоносное ПО реализует наиболее
продуманную стратегию атаки из всех известных атак на основе скрытых
загрузок:

«До сих пор в большинстве сценариев, подразумевавших скрытые загрузки,
механизм автоматической инъекции реализовывался средствами PHP-скриптов. Но в
данном случае мы имеем дело с более сложной проблемой – бинарный компонент
ядра, использующий продвинутые техники внедрения. Он обеспечивает процессу
инъекции недостижимый до сих пор уровень скрытности. Это новый подход к
организации схем с применением скрытых загрузок. Думаю, стоит ожидать появления
новых образцов вредоносного ПО этого типа».