Обнаружено новое вредоносное ПО Mayhem для *nix-серверов

image

Теги: вредоносное ПО, сервер, атака

Для осуществления атак и поиска устаревшего ПО вредонос использует базу данных об ошибках в конфигурациях серверов.

Эксперты из компании «Яндекс»  сообщили  об обнаружении нового вредоносного ПО под названием Mayhem, инфицирующего *nix-серверы на базе Linux и FreeBSD. Для осуществления атак и поиска устаревшего ПО вредонос использует базу данных об ошибках в конфигурациях серверов и эксплуатирует уязвимости в web-приложениях.

Атака на сервер осуществляется следующим образом: сначала загружается PHP-скрипт, инициализирующий бота, который выполнен в форме разделяемой многофункциональной библиотеки libworker.so. Для запуска Mayhem выполняется штатная системная утилита /usr/bin/host с флагом LD_PRELOAD=libworker.so, а в libworker.so переопределяется функция exit().

Файлы и плагины, используемые вредоносом, сохраняются в файле .sd0. Внутри него создается образ ФС в формате FAT. Примечательно, что эти плагины не детектируются VirusTotal. Они включают в себя ряд систем подбора паролей для FTP, инструменты для компрометации Wordpress и сбора данных о контенте на серверах и т. д.

По словам Адрея Ковалева, Константина Острашкевича и Евгения Сидорова, обнаруживших вредоносное ПО, в настоящее время обновления на *nix-серверы зачастую устанавливаются администраторами вручную. Также вручную тестируется защита от кибератак. Эксперты отмечают, что для обычных ресурсов серьезные процессы обслуживания и тестирования слишком дороги, а у администраторов не хватает на это времени.

Исследователи также сообщили, что на данный момент Mayhem инфицировал 1400 web-серверов. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.