EN
EN

Nowy Trojan dla Linuxa atakuje strony www

15 kwietnia, 2015

Analitycy bezpieczeństwa Doctor Web przebadali nowego Trojana, który potrafi infekować komputery z systemem operacyjnym Linux. Ten złośliwy program posiada zdolność do zdalnego skanowania stron www pod kątem podatności i do atakowania zasobów o określonych adresach z użyciem protokołu HTTP. Cyberprzestępcy mogą kontrolować Trojana używając protokołu przesyłania wiadomości tekstowych IRC (Internet Relay Chat).

Trojan ten, nazwany Linux.BackDoor.Sessox.1, rejestruje siebie w autostarcie zainfekowanego komputera. Następnie podłącza się do serwera kontrolno-zarządzającego, posiadającego działający moduł czatu, wspierający protokół IRC. Komendy cyberprzestępców są odbierane przez bota działającego w ramach tego czatu. Trojan potrafi wykonywać następujące polecenia:

– zalogowanie się do czatu IRC z określoną nazwą użytkownika i hasłem
– przekazanie wiadomości o czasie pracy komputera (uptime) do kanału IRC
– zmianę przydomka (nickname) na inny, określony w poleceniu
– wysłanie do serwera wiadomości PONG (w odpowiedzi na komendę PING)
– wykonanie jednej z następujących funkcji specjalnych:
– rozpoczęcie ataku na określoną stronę www z użyciem powtarzających się żądań GET (HTTP Flooder)
– uruchomienie skanowania pod kątem podatności ShellShock (Skaner ShellShock)
– uruchomienie skanowania skryptów PHP (Skaner PHP)
– uruchomienie serwera proxy (SOCKS5 Proxy)

Wysyłając powtarzające się żądania GET na stronę określoną przez cyberprzestępców, Trojan może rozpocząć atak. Co więcej, po odebraniu komendy od cyberprzestępców Linux.BackDoor.Sessox.1 może skanować atakowany serwer pod kątem podatności ShellShock, która zezwala na wykonanie dowolnego kodu na serwerze. Używając specjalnie stworzonego żądania POST, Trojan może wykonać skanowanie skryptów PHP, aby uruchomić obcy skrypt na atakowanym serwerze. W taki sposób cyberprzestępcy mogą wbudować kopię Linux.BackDoor.Sessox.1 w atakowany system, zapewniając dalszą dystrybucję Trojana.

Sygnatura Linux.BackDoor.Sessox.1 została dodana do bazy wirusów Dr.Web, dzięki czemu ten złośliwy program nie stanowi już zagrożenia dla komputerów chronionych przez oprogramowanie Dr.Web.

źródłó: Doctor Web

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
Inline Feedbacks
View all comments
polecane rozwiązania

Polecane rozwiązania

Nie musisz już szukać dobrych ofert! Znaleźliśmy je dla Ciebie!
oferty
specjalne
newsletter poradnik

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

tak! Chcę poradnik
ARTYKUŁY

Treść serwisu prawnie chroniona © 2024 | Fundacja AVLab dla Cyberbezpieczeństwa | Polityka prywatności

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]

najnowsze artykuły

Ze świata cyber

testy bezpieczeństwa

produkty ochronne

informacje o atakach

wydarzenia online

statystyki i raporty

od redakcji

polecane rozwiązania

wszyscy producenci