r   e   k   l   a   m   a
r   e   k   l   a   m   a

Fokirtor: linuksowy trojan w technologii stealth wykrada dane z serwerów

Strona główna AktualnościOPROGRAMOWANIE

Choć większość zagrożeń zgłaszanych w biuletynach bezpieczeństwa dotyczy Windows, to przecież i Linux nie jest odporny na złośliwe oprogramowanie. A że system ten jest często wykorzystywany do zastosowań serwerowych, to i konsekwencje działania linuksowych szkodników mogą okazać się bardzo poważne. Przekonują o tym pracownicy Symanteca, donosząc o niespotykanym wcześniej zagrożeniu dla systemów spod znaku Pingwina, który stosując bardzo sprytne techniki maskowania, służy do wykradania danych z zainfekowanych maszyn.

Zaczęło się w maju, gdy jedna z dużych firm hostingowych wykryła, że napastnicy uzyskali dostęp do jej systemów administracyjnych, próbując pozyskać dane osobowe użytkowników, ich e-maile i hasła. Szczęśliwie zamiast haseł w bazie były tylko posolone skróty, a informacje szczególnie wrażliwe, takie jak numery kart kredytowych, były zaszyfrowane, więc wyciek nie okazał się szczególnie bolesny. Uwagę badaczy zwrócił jednak poziom zaawansowania ataku, dowodzący, że dla zaangażowanego napastnika coraz mniej rzeczy jest niemożliwych.

Napastnicy zdawali sobie sprawę, że atak na dużą firmę hostingową to zadanie trudniejsze, niż atak na inne instytucje. Środowiska IT tego typu przedsiębiorstw są zwykle znacznie lepiej zabezpieczone, niż w firmach z innych branż. Wykrycie jakiegoś podejrzanego ruchu sieciowego czy nieznanych wcześniej procesów szybko obudziłoby zainteresowanie administratorów. Dlatego też przygotowali trojana (ochrzczonego przez Symanteca jako Linux.Fokirtor), który jedynie umieszczał furtkę w procesach takich jak SSH.

Trojan, choć umożliwiał zdalne uruchamianie kodu, nie otwierał własnych gniazdek sieciowych, ani też nie próbował się łączyć z serwerami dowodzenia i kontroli. Wstrzyknięty przez niego w SSH kod monitorował ruch sieciowy, czekając na określoną sekwencję znaków. Gdy ją napotkał, przetwarzał kolejne pakiety, wydobywając z nich zaszyfrowane i zakodowane polecenia, dla zewnętrznego obserwatora wyglądające na przypadkowe ciągi znaków, np. :!;.UKJP9NP2PAO4.

Dzięki temu napastnik mógł łączyć się z serweremi po SSH, osadzając tego typu komendy w normalnym, nie budzącym podejrzeń ruchu sieciowym. W ten sam sposób otrzymywał zaszyfrowane dane zwrotne z wykonania jego komend na serwerze.

Według ekspertów Symanteca, skala ataku nie jest duża – odnotowano do tej pory kilkadziesiąt zarażonych serwerów. Trzeba jednak pamiętać, że i Symantec AntiVirus for Linux, narzędzie, które trojana tego wykrywa, nie jest wśród administratorów linuksowych maszyn szczególnie popularne. W rzeczywistości Fokirtor może więc występować częściej. Aby wykryć jego obecność w systemie, należy śledzić ruch sieciowy pod kątem wystąpienia łańcucha znaków :!;., albo też wykonać zrzut procesu demona SSH, wyszukując w nim określonych par klucz-wartość.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.