Dr.Web: За массовым взломом Linux-серверов стоит Linux.Sshdkit

image

Теги: троян

Компания осуществила анализ вредоносного ПО, с помощью которого с серверов Linux похищались учетные данные пользователей.

Российский производитель антивирусных средств защиты информации – «Доктор Веб» - провел расследование  взломов web-серверов , которые работают на базе операционной системы Linux.

Согласно данным специалистов, одним из способов похищения паролей на серверах Linux стал троян, который при добавлении в базу Dr.Web получил название Linux.Sshdkit. Данная вредоносная программа является динамической библиотекой, работающей на 32-разрядных и 64-разрядных дистрибутивах Linux.

Пока специалистам не удалось полностью установить механизм, используемый для похищения паролей. Однако они выяснили, что установка вредоносной программы на атакуемые серверы осуществляется, используя критическую уязвимость.

После установки программы на систему, троян присоединяется к sshd-процессу и перехватывает аутентификационные данные. Затем учетные данные пользователя отправляются на удаленный сервер, который принадлежит злоумышленникам. Для того, чтобы адрес командного сервера генерировался каждые два дня, Linux.Sshdkit применяет следующий алгоритм: «Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию».

ИБ-специалистам удалось перехватить трафик к одному из управляющих серверов вредоносного трояна, используя метод sinkhole, что позволило выяснить наличие похищенных логинов и паролей со взломанных серверов.

Специалисты «Доктор Веб» рекомендуют администраторам серверов, работающих на базе ОС Linux, проверить операционную систему. «Одним из признаков заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ», - сообщают они.

Более подробно ознакомиться с публикацией «Доктор Веб» вы можете здесь .

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus