Хакер #305. Многошаговые SQL-инъекции
На сегодня троян Mirai (или Linux.Mirai в классификации «Доктор Веб») является самым распространенным Linix-трояном, утверждают аналитики. В вирусные базы компании вредонос впервые попал под именем Linux.DDoS.87 еще в мае 2016 года. Но с тех пор Mirai успел приобрести широкую известность и стать одной из топовых угроз, что произошло благодаря публикации исходных кодов трояна в свободном доступе.
Теперь специалисты «Доктор Веб» сообщили об обнаружении «вспомогательного» Windows-трояна Trojan.Mirai.1, написанного на С++. Работает вредонос следующим образом: при запуске он соединяется с управляющим сервером, откуда скачивает файл конфигурации и извлекает из него список IP-адресов. Затем малварь запускает сканер, который обращается к сетевым узлам по адресам из конфигурационного файла и пытается авторизоваться на них с заданным в том же файле сочетанием логина и пароля. Сканер способен опрашивать несколько TCP-портов одновременно.
Если вредоносу удается соединиться с атакуемым узлом по любому из доступных протоколов, он выполняет последовательность команд из файла конфигурации. Исключение составляют лишь соединения по протоколу RDP, в этом случае никакие инструкции не выполняются. Кроме того, при подключении по протоколу Telnet к устройству, работающему под управлением Linux, троян загружает на скомпрометированное устройство бинарный файл, который в свою очередь скачивает и запускает Linux.Mirai.
Также Windows-вредонос может выполнять на удаленной машине команды, использующие технологию межпроцессного взаимодействия (inter-process communication, IPC). Trojan.Mirai.1 способен запускать новые процессы и создавать различные файлы, например, пакетные файлы Windows с тем или иным набором инструкций.
Если на атакованном удаленном компьютере работает Microsoft SQL Server, троян создает пользователя Mssqla с паролем Bus3456#qwein и привилегиями sysadmin. От имени этого пользователя, используя службу SQL server job event, автоматически выполняются различные вредоносные задачи. К примеру, троян запускает по расписанию исполняемые файлы с правами администратора, удаляет файлы или помещает какие-либо ярлыки в системную папку автозагрузки (либо создает соответствующие записи в реестре Windows). Подключившись к удаленному MySQL-серверу, троянец с аналогичными целями создает пользователя СУБД MySQL с именем phpminds и паролем phpgod.
Фото: Depositphotos