Бэкдор Fokirtor для Linux использует протокол скрытой связи

image

Теги: Linux, Fokirtor, взлом

По данным Symantec, разработчики вируса маскировали трафик, внедряя его в легитимные процессы.

Как сообщают эксперты Symantec, в мае текущего года они вели расследование инцидента безопасности, произошедшего во внутренних сетях крупного интернет-провайдера (название компании не раскрывается). Злоумышленникам удалось скомпрометировать административные компьютеры и получить доступ к таким конфиденциальным данным, как имена пользователей, их адреса электронной почты и пароли (в зашифрованном виде).

«Финансовые данные клиентов провайдера также были доступны атакующим в зашифрованном виде. К сожалению нельзя исключить, что хакерам удалось похитить также и ключи шифрования», - поясняют в Symantec, подчеркивая, что в ходе расследования их удивила не цель, а сложность данной атаки.

По мнению исследователей, злоумышленники осознавали, что компания достаточно хорошо защищена и решили маскировать свою активность. Для этих целей они разработали специальный бэкдор Fokirtor для Linux, способный скрываться в SSH и других процессах сервера.

При этом вирус не устанавливал соединение с C&C-сервером; вместо этого, код бэкдора внедрялся в процесс SSH и проводил мониторинг сетевого трафика, осуществляя поиск специальной комбинации символов - «:!;.». Далее вредоносное приложение извлекало зашифрованные его разработчиками команды.

Ознакомиться с отчетом можно здесь


или введите имя

CAPTCHA
croo
14-11-2013 11:48:15
Круто, что то мне подсказывает что это развитие одного из известных зловредов, который так же залезал в легитимные приложения и мониторил трафик и перенаправлял пользователей на зараженные ресурсы, с сервером он так же не связывался а вытаскивал команды из трафика. В данном случае это очень похоже на тот же самый бекдор но с другой нагрузкой.
0 |
Гость
15-11-2013 09:34:50
А известный Вам зловред тоже был заточен на Linux?
0 |
Guest
14-11-2013 12:45:00
лучше бы sample выложили=) а зловред умный, вот только чтобы мониторить трафик, который идет не приложению - нужно promisc режим включать, и хотя флаги на машине можно подавить - удаленно его использование вычисляется на раз.
0 |
Guest 2
15-11-2013 15:03:12
набор слов у тебя красивый только и всего,наверное такие же шписиалисты и там трудятся что все могут вычислить на раз
0 |
Guest
16-11-2013 17:56:14
если тебе, дебилу, не хватает знаний и опыта, чтобы слова мои понять - сиди и не выеживайся, недомерок.
0 |
28-11-2013 21:39:39
Как вычислить удалённо? Как увидеть флаги? Трафик думаю идёт таки приложению (демону), внутри которого уже работает сторонний обработчик. Если это про перевод сетевого интерфейса в неразборчивый режим.
0 |
Serg
15-11-2013 14:48:28
>> компания достаточно хорошо защищена >>способный скрываться в ssh и других процессах У одного меня эти две строки не вяжутся? А простейшие сервисы, проверяющие контрольные суммы файлов, не говоря уже о RBAC в ELinux/AppArmor - не? Мне казалось, что у "достаточно хорошо защищенного провайдера" это должно быть де-факто... Хотя бы первое, RBAC достаточно сложен в применении вместе со всякими ISP[manager|console].
0 |
Виталий
16-11-2013 00:57:54
Он никакие системные файлы не меняет. Только добавляет в LD_PRELOAD библиотечку, которая системный вызов перехватывает. Таким образом он в них прячется, когда они в памяти. Соответственно, контрольные суммы тебя не спасут ) Ну и не выполняет он никаких "лишних" операций, которые мог бы запретить селинукс/аппармор.
0 |
Serg 2
15-11-2013 15:12:51
>> компания достаточно хорошо защищена >>способный скрываться в ssh и других процессах У одного меня эти две строки не вяжутся? да нет всё вяжется А простейшие сервисы, проверяющие контрольные суммы файлов, не говоря уже о RBAC в ELinux/AppArmor - не? Мне казалось, что у "достаточно хорошо защищенного провайдера" это должно быть де-факто... Хотя бы первое, RBAC достаточно сложен в применении вместе со всякими ISP[manager|console]. что им дали на том и работают,и не нужны им сервисы с проверкой суммы,ведь ядро это и есть фаервол+в Linux вирусов нет
0 |