Малварь-2016: самые опасные бэкдоры, локеры и APT для Windows, Linux, IoT и Android

Павел Шалин, 20.12.2016
Xakep #215
Есть у специалистов по информационной безопасности такое развлечение: установить Linux на виртуалку или даже на реальное железо, настроить в системе аутентификацию по логину и паролю вроде admin/admin либо root/test, выставить получившееся произведение искусства в Сеть и наблюдать за происходящим. Такая инсталляция (или перформанс — все время их путаю) называется ханипот, от английского слова honeypot — «горшочек с медом». Ибо на такой девайс со всех окраин интернета, словно пчелы на мед, тут же слетаются любители взламывать все, что плохо лежит. А исследователи, радостно потирая руки, начинают изучать то, что к этому самому «горшочку» прилипло.

Ханипот с Линуксом

За минувший квартал на ханипоты вирусной лаборатории Dr.Web с установленным Linux было совершено 385 829 успешных атак, из них 139 298 осуществлялись по протоколу SSH и 246 531 — по Telnet. В первом случае самыми ходовыми логинами для брута были admin, ubnt, root, pi, test, support и git, во втором к этому ассортименту добавились еще guest, tech, supervisor и administrator. Обрати внимание: Telnet у атакующих пользуется практически вдвое большей популярностью, чем SSH. С чего бы?

...все, кто считает, что троянца на Linux нужно предварительно собрать из исходников и обязательно запустить из-под root’а, несколько отстали от жизни

Одной из причин этого удивительного явления может быть необычайный рост популярности троя, известного под именем Linux.Mirai, которого в последнее время берут на вооружение все кому не лень. Эта вредоносная программа, появившаяся на свет еще в мае 2016 года, предназначена для организации DDoS-атак и способна работать на множестве устройств с архитектурой х86, ARM, MIPS, SPARC, SH-4 и M68K. Понятно, что среди таких девайсов встречаются и роутеры, и IP-камеры, и сетевые хранилища, сидящие на «толстом канале». Установив на подобное устройство DDoS-троянца, можно без проблем генерировать огромное количество флуд-запросов.

Linux.Mirai умеет сканировать уязвимые Telnet-хосты, генерируя случайным образом IP-адреса, а если обнаруживает такой, начинает ломиться на стандартные порты, перебирая логины и пароли по словарю. Ну а после того как исходники Mirai попали в паблик, в Сети словно прорвало плотину: тысячи юных гениев решили попользоваться халявной технологией, благо для этого нет никакой необходимости напрягать извилины и что-то придумывать самостоятельно. Кстати, в одном из перехваченных нами недавно заданий ботнету Mirai была отдана команда ддосить веб-сайт с примечательным адресом — http://fbi.gov. Видно, кому-то бравые фэбээровцы больно наступили на хвост.

Помимо Mirai, сетевые злодеи льют на ханипоты три вида малвари: это загрузчики, качающие на скомпрометированные устройства другой вредоносный хлам, и троянцы для организации DDoS-атак и прокси-серверов. Последние, понятное дело, используются в целях анонимности. Вот наиболее распространенная малварь, попадавшая на заботливо подготовленные нами Linux-машины в течение трех осенних месяцев 2016 года:

Распределение малвари для Linux

Среди этого разнообразия вредоносных программ следует особо отметить забавную зверушку под названием Linux.Hajime. Это червь, ориентированный в первую очередь на IoT, то есть на пресловутый «интернет вещей». Hajime тоже использует для своего распространения Telnet: сканирует Сеть и пытается подключиться к 23-му порту обнаруженных устройств, последовательно перебирая пароли. После успешной авторизации плагин-инфектор скидывает на устройство хранящийся в нем загрузчик для архитектур MIPS/ARM, написанный на ассемблере. Загрузчик выкачивает с машины, с которой велась атака, основной модуль троя, который включает устройство в децентрализованный P2P-ботнет. На финальном этапе этот компонент получает от ботоводов конфигурационный файл и снова запускает сканирование Сети для своего дальнейшего распространения. Кто сказал, что сетевых червей для Linux не существует в природе? Садись, два!

К слову, помимо Hajime, в последнее время появилось множество разнообразных ассемблерных загрузчиков для архитектур MIPS/ARM, например Linux.BackDoor.Remaiten или Linux.Nyadrop, используемый для загрузки в зараженную систему троянца Linux.Luabot.

Вообще, этой осенью вирусным аналитикам удалось собрать богатый урожай Linux-малвари. Вот, например, Linux.BackDoor.Irc.16. Мало того что этот троянец общается с С&C-сервером по протоколу IRC, как в старые добрые времена (эта незамысловатая технология помнит молодым шалопаем еще дедушку Торвальдса), так ко всему прочему он еще и написан на Rust. Если ты не в курсе, первая стабильная версия этого языка программирования от Mozilla Research вышла совсем недавно — 15 мая 2015 года, и вот вирусописатели уже приспособили его к делу.

Дешево и сердито: управление троянцем через ирку

В октябре был обнаружен бэкдор Linux.BackDoor.FakeFile.1. Как и другие бэкдоры, это творение неизвестных вирусописателей может выполнять на зараженной машине различные команды: скачивать, загружать на удаленный сервер и удалять файлы, организовать backconnect и запустить sh — в общем, мелко пакостить традиционными способами. Примечательно, что FakeFile не требует на зараженной машине привилегий root, он может превосходно работать с правами текущего пользователя. Так что все, кто считает, что троянца на Linux нужно предварительно собрать из исходников и обязательно запустить из-под root’а, несколько отстали от жизни. Технологии движутся вперед семимильными шагами! О чем все это говорит? Только о том, что популярность Linux среди вирмейкеров растет, а значит, эта система понемногу выходит из категории «забавной игрушки для гиков» и постепенно превращается в «удобную и надежную платформу для использования широкими слоями населения», чему весьма способствует появление большого количества работающих на Linux бытовых устройств. Ведь количество малвари для той или иной ОС определяется, в общем-то, только одним фундаментальным параметром — распространенностью этой системы.

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью.
Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.
Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя!
Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.