Ukryte zagrożenia dla serwerów Linux / Unix

18 lipca, 2014

Jednym z głównych trendów jaki panuje w świecie złośliwego oprogramowania w ostatnich latach jest nagły nacisk na malware atakujące serwery Linux i Unix. Poprzez ukierunkowanie ataków, twórcy wirusów wykorzystują już nie tylko luki w zabezpieczeniach serwerów Windows, ale przede wszystkim skupiają się na systemach, które nie są na bieżąco aktualizowane. Staromoda jest ciągle na topie – na linuxa nie ma wirusów, jeśli coś działa poprawnie, po co aktualizować? 

W tym roku opublikowany został artykuł czterech naukowców z Rosji na temat złośliwego oprogramowania wykorzystywanego do wstrzykiwania kodu w odpowiedziach HTTP na serwerach HTTP/proxy działających pod kontrolą Nginx. W zeszłym tygodniu naukowcy z Kaspersky Lab pisali na blogu o trojanie „Mayday”, który atakuje systemy/usługi sieciowe w celu uniemożliwienia im poprawnego działania. 

Kilka dni temu wspomniani naukowcy z Rosji opublikowali dokument, w którym analizują „Mayhem” – nowy rodzaj złośliwego oprogramowania, który działa na serwerach *nix i jest w stanie uzyskać maksymalne uprawnienia, nawet podczas pracy w środowisku z ograniczonymi uprawnieniami.

mayhem fig1

opublikowanej wcześniej analizy przez Malware Must Die! wynika, że wirus ten atakuje serwery poprzez skrypt PHP. Po zainstalowaniu się, złośliwe oprogramowanie działa w nieskończonej pętli i wykorzystuje HTTP POST do wysyłania i odbierania informacji z serwera C&C. Funkcjonalność rdzenia tego malware zależy od wielu pluginów, które są przechowywane w ukrytym systemie plików. Większość z tych pluginów rozszerza możliwości złośliwego oprogramowania i pomaga mu w wyszukiwaniu i infekowaniu innych serwerów WWW, bądź wykorzystuje atak brute force, aby uzyskać do nich dostęp.

Uzyskanie przez badaczy dostępu do dwóch serwerów C&C pozwoliło im stwierdzić, że szkodliwe oprogramowanie zaraziło co najmniej 1400 serwerów, z których większość znajduje się w USA, Rosji, Niemczech i Kanadzie. Odkryli również szereg pluginów, które wykorzystują lukę Heartbleed.

Pełną analizę Mayhem’a można zobaczyć w formacie HTML lub PDF.

źródło: VirusBulletin, Kaspersky, Malware Must Die!, własne

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]