Warszawa, 26 listopada 2014

Analitycy bezpieczeństwa Doctor Web przebadali niebezpieczny złośliwy program dla Linuxa. Malware dodane do bazy wirusów pod nazwą Linux.BackDoor.Fgt.1 zostało zaprojektowane do zestawiania ataków DDoS.

Po uruchomieniu się na zainfekowanym urządzeniu Linux.BackDoor.Fgt.1 wysyła żądanie na jeden z serwerów Google w celu określenia, czy urządzenie podłączone jest do Internetu. Jeśli odpowiedź jest pozytywna, określa adresy IP i MAC urządzenia. Następnie Linux.BackDoor.Fgt.1 próbuje skomunikować się z serwerem kontrolno-zarządzającym (C&C), którego adres jest wpisany na stałe w kod backdoor'a, wysyłając na ten serwer informację o swojej wersji. W odpowiedzi Linux.BackDoor.Fgt.1 oczekuje otrzymania bloku danych zawierających komendę do wykonania na zainfekowanym urządzeniu. Jeśli serwer C&C wyśle instrukcję PING, backdoor odsyła PONG i kontynuuje działanie na zainfekowanym urządzeniu. Jeśli odebrana zostanie komenda DUP, Linux.BackDoor.Fgt.1 wyłącza się.

Backdoor zawiera też specjalną procedurę skanowania 256 losowych adresów IP w jednej pętli. Cykl skanowania jest inicjowany przez atakujących. Podczas generowania adresów IP Linux.BackDoor.Fgt.1 sprawdza, czy nie wypadają one w zakresie adresów używanych wewnątrz sieci LAN - takie adresy są ignorowane. Jeśli połączenie nie powiedzie się, Linux.BackDoor.Fgt.1 wysyła informację o błędzie na serwer C&C agresorów. Jeśli połączenie zostanie zestawione, złośliwy program próbuje połączyć się ze zdalnym hostem poprzez Telnet i uzyskać ciąg zachęty do logowania. Po wysłaniu do zdalnego hosta loginu z wygenerowanej przez siebie listy, Linux.BackDoor.Fgt.1 rozpoczyna analizowanie odpowiedzi od zdalnej maszyny. Jeśli któraś z nich zawiera żądanie hasła, backdoor próbuje zalogować się używając haseł znalezionych na swojej liście. Jeśli mu się to uda, Linux.BackDoor.Fgt.1 przekazuje na serwer C&C adres IP, login i hasło użyte do zdalnej autoryzacji na hoście, po czym węzeł będący celem ataku otrzymuje instrukcję pobrania specjalnego skryptu. Ten skrypt jest używany do załadowania i uruchomienia Linux.BackDoor.Fgt.1 na zaatakowanej maszynie. Warto zauważyć, że serwer C&C zawiera dużą liczbę plików wykonywalnych wirusa Linux.BackDoor.Fgt.1 skompilowanych na różne wersje systemu Linux w różnych dystrybucjach, włączając porty serwerowe oparte na architekturach MIPS i SPARC. W ten sposób backdoor potrafi infekować nie tylko podłączone do Internetu serwery i PC pracujące pod kontrolą Linuxa, ale i inne urządzenia, takie jak routery.

Linux.BackDoor.Fgt.1 potrafi wykonywać pewną liczbę poleceń wydawanych przez intruzów, włączając następujące:

• określanie adresu IP zainfekowanego urządzenia;
• uruchamianie/zatrzymywanie skanowania IP;
• zestawianie ataku typu DNS Amplification na określonym hoście;
• zestawianie ataku typu UPD Flood na określonym hoście;
• zestawianie ataku typu SYN Flood na określonym węźle;
• przerywanie ataków DDoS;
• kończenie pracy backdoora.

Definicje Linux.BackDoor.Fgt.1 pozwalające antywirusowi na wykrycie i usunięcie tego programu zostały dodane do bazy wirusów Dr.Web, więc maszyny korzystające z Antywirusów dla systemu Linux produkcji Doctor Web są dobrze chronione przed tym niebezpieczeństwem.