Trojan w dokumentach MS Office, PDF i Open Office dla systemu Linux, który nie potrzebuje root’a

24 października, 2016
linux_trojan_noroot

FakeFile to pełnoprawny backdoor dla systemów Linux, który nie potrzebuje żadnych uprzywilejowanych uprawnień, a więc może być uruchomiony bez podawania hasła administratora systemu zwanego root’em. Wystarczy jeden spreparowany dokument, by wasze komputery stały się częścią botnetu.

Analitycy złośliwego kodu z rosyjskiej firmy Doctor Web zidentyfikowali trojana Linux.BackDoor.FakeFile.1, który może kryć się w spreparowanych plikach MS Office, PDF i Open Office.

Po uruchomieniu, trojan zapisuje się w katalogu domowym profilu użytkownika:

.gconf/apps/gnome-common/gnome-common

Następnie wyszukuje ukryty plik, którego nazwa odpowiada nazwie pliku trojana i zastępuje ten plik wykonywalny plikiem zawierającym kod wirusa. Na przykład, jeśli plik ELF wirusa Linux.BackDoor.FakeFile.1 jest nazwany AnyName.pdf, to trojan będzie szukał ukrytego pliku pod nazwą .AnyName.pdf, a następnie zastąpi oryginalny plik swoim plikiem, używając polecenia mv .AnyName.pdf AnyName.pdf. Jeśli plik nie zostanie wykryty, Linux.BackDoor.FakeFile.1 utworzy go i otworzy w edytorze tekstu gedit.

Następnie trojan sprawdza nazwę zainstalowanej przez użytkownika dystrybucji. Jeśli nazwa jest różna od openSUSE, to Linux.BackDoor.FakeFile.1 zapisuje komendę w pliku <HOME>/.profile lub <HOME>/.bash_profile, która pozwoli mu na automatyczne uruchamianie się z systemem.

Kolejno pobiera dane konfiguracyjne z pliku i je odszyfrowuje, po czym uruchamia dwa procesy:

  • pierwszy dzieli się informacjami z serwerem dowodzenia i kontroli C&C,
  • drugi kontroluje czas trwania połączenia. Jeśli trojan jest podłączony dłużej niż przez 30 minut bez odebrania instrukcji, to połączenie jest zrywane.

Trojan w rzeczywistości instaluje w systemie backdoor’a, który umożliwia:

  • Komunikowanie się z C&C
  • Wysyłanie informacji o plikach ze specyficznych folderów
  • Przekazywanie specyficznych plików oraz folderów z całą zawartością
  • Usuwanie, zmienianie nazw plików i folderów,
  • Uruchamianie swoich kopii,
  • Zamykanie aktywnych sesji,
  • Uruchamianie skryptów shell,
  • Zapisywanie przekazywanych wartości do plików,
  • Uzyskiwanie nazwy, uprawnień, rozmiarów i dat utworzenia plików w podanym katalogu,
  • Zmianę chmod plików na 777.

Linux.BackDoor.FakeFile.1 nie wymaga uprawnień roota, dlatego może wykonywać swoje szkodliwe działanie na takich samych uprawnieniach, jak zalogowany użytkownik. 

A więc stało się. Dystrybucje Linuksa mogą zostać zainfekowane w taki sam sposób, jak wszystkie inne Windowsy — wystarczy uruchomić złośliwy plik dostarczony np. za pośrednictwem poczty elektronicznej.

Nadchodzi era antywirusów dla systemów Linux? 

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]