Linux безопасней Windows? Стереотип!

Специалисты компании «Доктор Веб» наконец-то узнали, что и Linux может использоваться во вредоносных целях.

Стереотипное мнение о том, что операционные системы, построенные на базе ядра Linux, в силу особенностей своей архитектуры полностью защищены от проникновения вредоносных программ, заметно облегчает жизнь злоумышленникам, распространяющим подобное ПО.

В мае 2014 года специалисты компании «Доктор Веб» выявили и исследовали рекордное по сравнению с предыдущими месяцами количество троянцев для ОС Linux, значительная часть которых предназначена для организации DDoS-атак.

Эти вредоносные программы объединяют общие черты: во-первых, они предназначены для организации DDoS-атак с использованием различных протоколов, а во-вторых, по косвенным признакам можно сделать вывод о том, что большинство исследованных специалистами «Доктор Веб» DDoS-троянцев создано одним и тем же автором.

Так, вредоносная программа, добавленная в вирусные базы Dr.Web под именем Linux.DDoS.3, обладает достаточно широким спектром функциональных возможностей. После своего запуска троянец определяет адрес командного сервера и отправляет на него информацию об инфицированной системе, а затем ожидает получения конфигурационных данных с параметрами текущей задачи (отчет о ее выполнении также впоследствии отправляется злоумышленникам). Linux.DDoS.3 позволяет осуществлять DDoS-атаки на заданный сервер с использованием протоколов TCP/IP (TCP flood), UDP (UDP flood), а также отправляет запросы на серверы DNS для усиления эффективности атак (DNS Amplification).

Еще одна модификация данной угрозы, получившая наименование Linux.DDoS.22, ориентирована на работу с дистрибутивами Linux для процессоров ARM, а Linux.DDoS.24 способен инфицировать серверы и рабочие станции, на которых используются 32-разрядные версии Ubuntu и CentOS. Троянец Linux.DDoS.24 устанавливается в систему под именем pktmake и автоматически регистрирует себя в параметрах автозагрузки ОС. После запуска он также собирает сведения об аппаратной конфигурации инфицированного компьютера — в том числе о типе процессора и объеме памяти — и отправляет ее в зашифрованном виде на принадлежащий киберпреступникам управляющий сервер. Основное предназначение этой вредоносной программы заключается в выполнении DDoS-атак по команде с удаленного узла.

Следующая группа угроз для ОС Linux включает троянцев Linux.DnsAmp.1, Linux.DnsAmp.2, Linux.DnsAmp.3, Linux.DnsAmp.4 и Linux.DnsAmp.5. Некоторые вредоносные программы семейства Linux.DnsAmp используют сразу два управляющих сервера и способны инфицировать как 32-разрядные (Linux.DnsAmp.1, Linux.DnsAmp.3, Linux.DnsAmp.5), так и 64-разрядные (Linux.DnsAmp.2, Linux.DnsAmp.4) версии Linux. Подобно другим представителям данного класса DDoS-троянцев, Linux.DnsAmp регистрирует себя в автозагрузке, собирает и отправляет на удаленный сервер сведения о конфигурации инфицированной машины (версия ОС, частота процессора, объем свободной памяти и Swap-кэша, и т. д.), после чего ожидает поступления управляющих команд. Среди возможностей данного класса троянцев необходимо отметить следующие:

  • SYN Flood (отправка специально сформированного пакета на атакуемый узел до тех пор, пока тот не перестанет отвечать на запросы);
  • UDP Flood (устанавливается соединение с атакуемым узлом по протоколу UDP, после чего троянец пытается отправить жертве 1 000 сообщений);
  • Ping Flood (с использованием протокола ICMP формируется эхо-запрос, в котором в качестве идентификатора используется PID процесса, а данные представляют собой hex-значение 0xA1B0A1B0);
  • отправка запросов на серверы DNS (DNS Amplification);
  • отправка запросов на серверы NTP (NTP Amplification — в ранних версиях троянца функция реализована, но не используется).

Также по команде с удаленного сервера Linux.DnsAmp может записать информацию в файл журнала, повторить атаку или обновиться.

Троянцы Linux.DnsAmp.3 (для 32-разрядных версий Linux) и Linux.DnsAmp.4 (для 64-разрядных Linux-дистрибутивов) представляют собой модификации первой версии Linux.DnsAmp с предельно упрощенной системой команд. Фактически, эти реализации троянца могут выполнять только три поступающих с управляющего сервера директивы: начать DDoS-атаку, остановить атаку и записать данные в файл журнала. Следует отметить, что многие из перечисленных выше вредоносных программ используют одни и те же управляющие серверы.

Наконец, следует упомянуть о вредоносной программе для ARM-совместимых дистрибутивов Linux, получившей наименование Linux.Mrblack. Этот троянец также предназначен для выполнения DDoS-атак с использованием протоколов TCP/IP и HTTP. Он имеет довольно примитивную архитектуру и, подобно другим аналогичным угрозам, действует по команде с управляющего сервера.

Командные центры, с использованием которых осуществляется управление упомянутыми троянскими программами, располагаются преимущественно на территории Китая, и реализованные с их помощью DDoS-атаки направлены, в основном, против китайских интернет-ресурсов.

Программное обеспечение: 
field_vote: 
Ваша оценка: Нет Средняя: 1.8 (5 оценки)

Комментарии

При этом «специалисты» стыдливо умалчивают о цифрах: сколько протрояненных компов на Линуксе, а сколько на Вантузе? Думаю, соотношение где-то 1/106.

А вообще, да — в Линуксе есть сетевая подсистема, которая может использоваться, в том числе, и для сетевых атак. Только почему это «специалистами» воспринимается как подверженность Линукса троянам?

comrade аватар

После своего запуска...

...способен инфицировать...

Странно, что про ключевой момент – и так не подробно ((-;

Зато очень подробно – про их действия «после установки». Так это как раз не особо интересно: мы и так знаем, что из линукса программа с достаточными правами может сделать что угодно.

...рекордное по сравнению с предыдущими месяцами количество троянцев для ОС Linux...
...по косвенным признакам можно сделать вывод о том, что большинство исследованных специалистами «Доктор Веб» DDoS-троянцев создано одним и тем же автором.

Это сильно! ((-;
Ну нашёлся какой-то любитель помечтать и пописать трояны, которые бы делали то и сё, ...если бы были установлены в системе.

Пока основной механизм внедрения закладок в линукс – подбор пароля из набора «тупых паролей».
Да, серьёзные уязвимости иногда находят – и исправляют! Даже в новых бытовых роутерах теперь делают автоматическую перепрошивку встроенного линукса.

Я уже тут много раз писал (в ответ на «вирусов нету, патамушта 1% толька...":)), что линукс более чем интересен для злодеев, т.к. на нём крутится значительная часть серверов. Естественно, подобного рода программы давно есть.

Даже был пример эпидемии на роутерах со включённым внешним доступом и стандартными паролями.

Ну так, если уж пользуетесь бронированной дверью с хорошим замком, то какой смысл её держать постоянно открытой?

Аналитики из доктора Вебера узнали о существовании LOIQ и JavaLOIC ?

«аналитики» не знают старую байку про линукс.
"В линуксе так плохо, что даже вирусы не работают».
О деле. Положим на джаве можно создать в пределах страницы код, который что-то скинет в /home/.config
А дальше, как и что потянет сопровождающие библиотеки? Поспособствует пользователь с руут-паролем. Ну если так, при чем тогда линукс, а заодно Др.веб и любой антивирь.
Скорее всего подоплека у подобных «уток» следующая. Надо искать новых клиентов, подкарливая новыми страшилками. А то с виндой уже как-то не то.
Уже не раз сидел в темах про мальварь на линуксе. После примерно трех десятков страниц, взбудораженной тукс-общественности, являлся ответ от топик-стартера — показалось по причине избытка и низкого качества пива.
Сказанное не значит, что невозможно целенаправленое проникновение через тсп-сокет. Но здесь речь именно о целе-направленном, с которым работает своя группа, с подбором входа и т.д. А ни какой не троянец.

пользователь с руут-паролем

Отравился, наверное. :)

Чего-то за последний три-четыре дня, не первый сайт поднимает вопросы секурити в линуксе.
Если по делу, то лучше _datamation.com/open-source/is-desktop-linux-secure-1.html
где

As a general rule, the Linux desktop does indeed offer a secure computing environment, but even with its security in place it pays to use the tips provided above as a failsafe measure.

Не забывайте про советы или хотя бы простые правила безопасности

Так уже второй эпичный факап за год — вот и поднимаем.

Интересный у них «Троянец":
Метод проникновения

Троянская программа, предназначенная для выполнения DDoS-атак, ориентирована на работу с 32-разрядными дистрибутивами Linux Ubuntu и CentOS.

Для установки запускается с входным параметром "-add". В систему устанавливается под именем "pktmake". Для установки выполняет последовательно команды:

killall pktmake
cp /home/user/guchun /bin/pktmake -f 2>&1
chmod 777 /bin/pktmake 2>&1

его надо самому скачать, самому прописать в bin, самому дать права...
Как-то не вяжется с определением "троян", что-то мне это напоминает, ах да - бородатый анекдот: " Здравствуйте, я бедный китайский троянец, сам ничего не умею, поэтому, пожалуйста..."

Поступил заказ на дискредитацию Linux, стал мешать.

Да, есть ощущение, что болмерята заказ отрабатывают. Возможно, из-за разговоров о миграции с дохлой XP на Linux.

Комментировать

Filtered HTML

  • Use [fn]...[/fn] (or <fn>...</fn>) to insert automatically numbered footnotes.
  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.