На сервисы одного из хостинг-провайдеров некоторое время назад – проводилась масштабная атака. В результате анализа атаки, компания Symantec выявила новый вид так называемого бэкдора для систем GNU/Linux.
Бэкдор – это часть кода, позволяющая получить несанкционированный доступ к системе или ее компонентам. В данном случае код выполнен в виде разделяемой библиотеки, выполняющей перехват ряда системных вызовов. Оказалось, к ним относятся общеупотребительные fork, ioctl, read и несколько других.
Библиотека должна связываться с сетевыми службами, активированными на данной машине (например, с процессом sshd). Все указанные выше вызовы – обрабатываются под ее контролем. При работе данный бэкдор не записывает файлы, не открывает сетевых сокетов и не создает соединений, что сильно затруднило его обнаружение.
Определен и механизм управления теневым кодом: в трафике должна появиться последовательность «:!;.», за которой может идти блок управляющих данных. Вдобавок, бэкдор использует шифрование Blowfish.
Что может новый бэкдор
Закодированные блоки будут передаваться, как часть обычного трафика. Каждый из них может содержать или управляющие команды, или накопленные бэкдором данные.
Удалось выяснить, что основная функция кода – сбор и отправка конфиденциальных данных. Это и различные пароли, и адреса e-mail. Поддерживается перехват SSH-ключей пользователя, подключившегося к зараженной системе.
Даже заметив в трафике управляющую маску «:!;.», бэкдор может не проявлять себя. Эффективным методом его обнаружения является запись дампа процесса sshd (с дальнейшим поиском специфичных последовательностей: «key=», «dip=», «dhost=», «sp=», «hbt=3600»).
В мае 2013 года был обнаружен бэкдор для сервера Apache. Системным администраторам для проверки целостности установленных пакетов – рекомендовали воспользоваться инструментарием debsums (что верно, если речь идет о дистрибутивах Deb-based, в том числе Ubuntu и Mint). Тогда бэкдор получил название «Cdorked.A», в то время как новый вредоносный код – остается пока без имени.