CERT Polska ostrzega przed botnetem korzystającym z Windows i Linuksa

Nie tylko autorzy dobrych programów myślą o niezależności względemsystemów operacyjnych. Coraz częściej myślą też o tym autorzyprogramów niedobrych, a wręcz skrajnie złośliwych. Rosnącaheterogeniczność klientów spotykanych w Sieci zachęca do tworzeniamalware, które atakuje nie tylko Windows, a prace w tym kierunku sąjuż całkiem zaawansowane. Eksperci z CERT Polska ostrzegająprzed bardzo ciekawym botnetem, który od kilku tygodniu przejmujekomputery zarówno z Windows, jak i z Linuksem.Technicznego wyrafinowania tu nie ma: Linux atakowany jest poprzezatak słownikowy na SSH, napastnik loguje się do maszyny, a następniepobiera plik z botem i uruchamia go. To 32-bitowy, statyczniezlinkowany demon, który próbuje połączyć się ze swoim serweremdowodzenia i kontroli, wysyła dane o zainfekowanej maszynie (wersjajądra, szybkość procesora, obciążenie systemu) i czeka na rozkazy.Lista działań, jakie bot może wykonać, ogranicza się do ataków DDoS –przede wszystkim DNS Amplification, w którym wysyłane są żądaniazawierające 256 losowo wygenerowanych zapytań, ze sfałszowanymadresem zwrotnym.[img=botnet]Na Windows z kolei uruchamiany jest fałszywy plik svchost.exe,rejestrujący w systemie nową usługę o nazwie DBProtectSupport,uruchamianą automatycznie ze startem systemu. Odpytuje ona DNSGoogle'a o adres IP pewnej domeny .com, po czym bot łączy się z tymadresem, by wyczekiwać na rozkazy. Zakres możliwych działań bota jesttaki sam, jak w wersji linuksowej, podobnie też „dzwoni on dodomu”, by wysłać informacje o systemie.Jak wynika z danych Virus Total, ze szkodnikiem w wersji dla„okienek” oprogramowanie ochronne radzi sobie nieźle –większość antywirusów wykrywa szkodnika, klasyfikując go jakoWin32:Malware-gen (Avast), Trojan.Win32.Swisyn.cskp (Kaspersky) czyBackdoor:Win32/Farfli.BD (Microsoft). Znacznie gorzejjest w wypadku wersji linuksowej – wychwytują ją jedynie Avast(ELF:Agent-BC), DrWeb (Linux.DDoS.3) i ESET-NOD32(Linux/Agent.G.Gen). W tej sytuacji warto zadbać o to, by serwer SSHnie umożliwiał dostępu z zewnątrz poprzez hasła, o wiele lepszymrozwiązaniem jest stosowanie kryptografii klucza publicznego.Eksperci z CERT przekonani są, że obie wersje bota są dziełem tejsamej grupy, poszukującej przede wszystkim maszyn z dobrym łączem doSieci (w praktyce – serwerów). Taka potrzeba usprawiedliwiałabytworzenie linuksowego bota – choć system spod znaku pingwina nadesktopie nie występuje za często, to w wypadku zastosowańserwerowych, szczególnie hostingowych, jest wręcz odwrotnie.