Был ваш — стал наш. Как один короткий код делает из рабочей станции послушного зомби
Даже бдительные антивирусы в упор не замечают эту угрозу. Но почему?
Исследователь по имени Ксавье Мертенс недавно обратил внимание на новый вредоносный Bash-скрипт, который незаметно превращает обычный сервер или рабочую станцию в точку удалённого доступа. На первый взгляд, код выглядит простым и даже снабжён комментариями, но за внешней прозрачностью скрывается набор приёмов, позволяющих закрепиться в системе и скрыть следы активности.
Скрипт устанавливает бэкдор на базе GSocket — инструмента для сетевого взаимодействия через глобальную релейную инфраструктуру. Вместо привычных IP-адресов и открытых портов используется общий секрет, а соединение строится через исходящие подключения. Такой подход помогает обходить традиционные средства защиты. Для удалённого доступа применяется утилита gs-netcat, способная открывать оболочку, передавать файлы и создавать туннели.
Обнаруженный образец заинтересовал специалистов ещё и тем, что антивирусные системы распознают угрозу слабо — на момент анализа срабатывание показали лишь несколько движков. При этом код не содержит обфускации и выглядит так, будто автор проверял его работоспособность перед дальнейшим распространением.
После запуска скрипт загружает клиент GSocket и устанавливает соединение с внешним узлом. Затем вредонос закрепляется в системе сразу несколькими способами. Создаётся задание в cron, которое каждый час перезапускает скрытый процесс. Дополнительно та же команда запуска прописывается в .profile, что обеспечивает повторный запуск при входе пользователя.
Файлы маскируются под легитимные. Сам скрипт копируется в каталог .ssh под именем putty, а секрет для соединения сохраняется в поддельном ключе id_rsa. Бинарный файл с полезной нагрузкой загружается напрямую с CDN GSocket.
Отдельного внимания заслуживают приёмы сокрытия следов. Вместо стандартных команд для работы с файлами скрипт использует вспомогательные функции, которые отслеживают и затем восстанавливают временные метки. После выполнения операций вредонос возвращает исходные значения, чтобы изменения в файловой системе выглядели незаметными. Такой подход усложняет расследование и снижает вероятность обнаружения бэкдора.
Код также проверяет тип операционной системы и способен работать не только на Linux, но и на других UNIX-платформах, включая macOS и различные BSD. Универсальность и простота делают угрозу потенциально опасной для широкого круга систем.