Linux безопасней Windows? Стереотип!
Специалисты компании «Доктор Веб» наконец-то узнали, что и Linux может использоваться во вредоносных целях.
Стереотипное мнение о том, что операционные системы, построенные на базе ядра Linux, в силу особенностей своей архитектуры полностью защищены от проникновения вредоносных программ, заметно облегчает жизнь злоумышленникам, распространяющим подобное ПО.
В мае 2014 года специалисты компании «Доктор Веб» выявили и исследовали рекордное по сравнению с предыдущими месяцами количество троянцев для ОС Linux, значительная часть которых предназначена для организации DDoS-атак.
Эти вредоносные программы объединяют общие черты: во-первых, они предназначены для организации DDoS-атак с использованием различных протоколов, а во-вторых, по косвенным признакам можно сделать вывод о том, что большинство исследованных специалистами «Доктор Веб» DDoS-троянцев создано одним и тем же автором.
Так, вредоносная программа, добавленная в вирусные базы Dr.Web под именем Linux.DDoS.3, обладает достаточно широким спектром функциональных возможностей. После своего запуска троянец определяет адрес командного сервера и отправляет на него информацию об инфицированной системе, а затем ожидает получения конфигурационных данных с параметрами текущей задачи (отчет о ее выполнении также впоследствии отправляется злоумышленникам). Linux.DDoS.3 позволяет осуществлять DDoS-атаки на заданный сервер с использованием протоколов TCP/IP (TCP flood), UDP (UDP flood), а также отправляет запросы на серверы DNS для усиления эффективности атак (DNS Amplification).
Еще одна модификация данной угрозы, получившая наименование Linux.DDoS.22, ориентирована на работу с дистрибутивами Linux для процессоров ARM, а Linux.DDoS.24 способен инфицировать серверы и рабочие станции, на которых используются 32-разрядные версии Ubuntu и CentOS. Троянец Linux.DDoS.24 устанавливается в систему под именем pktmake и автоматически регистрирует себя в параметрах автозагрузки ОС. После запуска он также собирает сведения об аппаратной конфигурации инфицированного компьютера — в том числе о типе процессора и объеме памяти — и отправляет ее в зашифрованном виде на принадлежащий киберпреступникам управляющий сервер. Основное предназначение этой вредоносной программы заключается в выполнении DDoS-атак по команде с удаленного узла.
Следующая группа угроз для ОС Linux включает троянцев Linux.DnsAmp.1, Linux.DnsAmp.2, Linux.DnsAmp.3, Linux.DnsAmp.4 и Linux.DnsAmp.5. Некоторые вредоносные программы семейства Linux.DnsAmp используют сразу два управляющих сервера и способны инфицировать как 32-разрядные (Linux.DnsAmp.1, Linux.DnsAmp.3, Linux.DnsAmp.5), так и 64-разрядные (Linux.DnsAmp.2, Linux.DnsAmp.4) версии Linux. Подобно другим представителям данного класса DDoS-троянцев, Linux.DnsAmp регистрирует себя в автозагрузке, собирает и отправляет на удаленный сервер сведения о конфигурации инфицированной машины (версия ОС, частота процессора, объем свободной памяти и Swap-кэша, и т. д.), после чего ожидает поступления управляющих команд. Среди возможностей данного класса троянцев необходимо отметить следующие:
- SYN Flood (отправка специально сформированного пакета на атакуемый узел до тех пор, пока тот не перестанет отвечать на запросы);
- UDP Flood (устанавливается соединение с атакуемым узлом по протоколу UDP, после чего троянец пытается отправить жертве 1 000 сообщений);
- Ping Flood (с использованием протокола ICMP формируется эхо-запрос, в котором в качестве идентификатора используется PID процесса, а данные представляют собой hex-значение 0xA1B0A1B0);
- отправка запросов на серверы DNS (DNS Amplification);
- отправка запросов на серверы NTP (NTP Amplification — в ранних версиях троянца функция реализована, но не используется).
Также по команде с удаленного сервера Linux.DnsAmp может записать информацию в файл журнала, повторить атаку или обновиться.
Троянцы Linux.DnsAmp.3 (для 32-разрядных версий Linux) и Linux.DnsAmp.4 (для 64-разрядных Linux-дистрибутивов) представляют собой модификации первой версии Linux.DnsAmp с предельно упрощенной системой команд. Фактически, эти реализации троянца могут выполнять только три поступающих с управляющего сервера директивы: начать DDoS-атаку, остановить атаку и записать данные в файл журнала. Следует отметить, что многие из перечисленных выше вредоносных программ используют одни и те же управляющие серверы.
Наконец, следует упомянуть о вредоносной программе для ARM-совместимых дистрибутивов Linux, получившей наименование Linux.Mrblack. Этот троянец также предназначен для выполнения DDoS-атак с использованием протоколов TCP/IP и HTTP. Он имеет довольно примитивную архитектуру и, подобно другим аналогичным угрозам, действует по команде с управляющего сервера.
Командные центры, с использованием которых осуществляется управление упомянутыми троянскими программами, располагаются преимущественно на территории Китая, и реализованные с их помощью DDoS-атаки направлены, в основном, против китайских интернет-ресурсов.
Комментарии
pomodor
16 мая, 2014 - 01:32
При этом «специалисты» стыдливо умалчивают о цифрах: сколько протрояненных компов на Линуксе, а сколько на Вантузе? Думаю, соотношение где-то 1/106.
А вообще, да — в Линуксе есть сетевая подсистема, которая может использоваться, в том числе, и для сетевых атак. Только почему это «специалистами» воспринимается как подверженность Линукса троянам?
comrade
16 мая, 2014 - 10:45
Странно, что про ключевой момент – и так не подробно ((-;
Зато очень подробно – про их действия «после установки». Так это как раз не особо интересно: мы и так знаем, что из линукса программа с достаточными правами может сделать что угодно.
Это сильно! ((-;
Ну нашёлся какой-то любитель помечтать и пописать трояны, которые бы делали то и сё, ...если бы были установлены в системе.
Пока основной механизм внедрения закладок в линукс – подбор пароля из набора «тупых паролей».
Да, серьёзные уязвимости иногда находят – и исправляют! Даже в новых бытовых роутерах теперь делают автоматическую перепрошивку встроенного линукса.
Я уже тут много раз писал (в ответ на «вирусов нету, патамушта 1% толька...":)), что линукс более чем интересен для злодеев, т.к. на нём крутится значительная часть серверов. Естественно, подобного рода программы давно есть.
Даже был пример эпидемии на роутерах со включённым внешним доступом и стандартными паролями.
Ну так, если уж пользуетесь бронированной дверью с хорошим замком, то какой смысл её держать постоянно открытой?
Platon
16 мая, 2014 - 19:06
Аналитики из доктора Вебера узнали о существовании LOIQ и JavaLOIC ?
Соловей-затейник
16 мая, 2014 - 19:55
«аналитики» не знают старую байку про линукс.
"В линуксе так плохо, что даже вирусы не работают».
О деле. Положим на джаве можно создать в пределах страницы код, который что-то скинет в /home/.config
А дальше, как и что потянет сопровождающие библиотеки? Поспособствует пользователь с руут-паролем. Ну если так, при чем тогда линукс, а заодно Др.веб и любой антивирь.
Скорее всего подоплека у подобных «уток» следующая. Надо искать новых клиентов, подкарливая новыми страшилками. А то с виндой уже как-то не то.
Уже не раз сидел в темах про мальварь на линуксе. После примерно трех десятков страниц, взбудораженной тукс-общественности, являлся ответ от топик-стартера — показалось по причине избытка и низкого качества пива.
Сказанное не значит, что невозможно целенаправленое проникновение через тсп-сокет. Но здесь речь именно о целе-направленном, с которым работает своя группа, с подбором входа и т.д. А ни какой не троянец.
pomodor
16 мая, 2014 - 21:05
Отравился, наверное. :)
Соловей-затейник
16 мая, 2014 - 20:06
Чего-то за последний три-четыре дня, не первый сайт поднимает вопросы секурити в линуксе.
Если по делу, то лучше _datamation.com/open-source/is-desktop-linux-secure-1.html
где
Не забывайте про советы или хотя бы простые правила безопасности
pomodor
16 мая, 2014 - 21:02
Так уже второй эпичный факап за год — вот и поднимаем.
Platon
16 мая, 2014 - 21:30
Интересный у них «Троянец":
Метод проникновения
его надо самому скачать, самому прописать в bin, самому дать права...
Как-то не вяжется с определением "троян", что-то мне это напоминает, ах да - бородатый анекдот: " Здравствуйте, я бедный китайский троянец, сам ничего не умею, поэтому, пожалуйста..."
Чингачгук
17 мая, 2014 - 15:43
Поступил заказ на дискредитацию Linux, стал мешать.
pomodor
17 мая, 2014 - 16:06
Да, есть ощущение, что болмерята заказ отрабатывают. Возможно, из-за разговоров о миграции с дохлой XP на Linux.
Комментировать