Информационные технологииStfw.Ru 🔍
🕛

За массовым взломом Linux-серверов стоит Linux.Sshdkit

Компания осуществила анализ вредоносного ПО, с помощью которого с серверов Linux похищались учетные данные пользователей.Компания осуществила анализ вредоносного ПО, с помощью которого с сер
Компания осуществила анализ вредоносного ПО, с помощью которого с серверов Linux похищались учетные данные пользователей.

Российский производитель антивирусных средств защиты информации – «Доктор Веб» - провел расследование  взломов web-серверов , которые работают на базе операционной системы Linux.

Согласно данным специалистов, одним из способов похищения паролей на серверах Linux стал троян, который при добавлении в базу Dr.Web получил название Linux.Sshdkit. Данная вредоносная программа является динамической библиотекой, работающей на 32-разрядных и 64-разрядных дистрибутивах Linux.

Пока специалистам не удалось полностью установить механизм, используемый для похищения паролей. Однако они выяснили, что установка вредоносной программы на атакуемые серверы осуществляется, используя критическую уязвимость.

После установки программы на систему, троян присоединяется к sshd-процессу и перехватывает аутентификационные данные. Затем учетные данные пользователя отправляются на удаленный сервер, который принадлежит злоумышленникам. Для того, чтобы адрес командного сервера генерировался каждые два дня, Linux.Sshdkit применяет следующий алгоритм: «Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию».

ИБ-специалистам удалось перехватить трафик к одному из управляющих серверов вредоносного трояна, используя метод sinkhole, что позволило выяснить наличие похищенных логинов и паролей со взломанных серверов.

Специалисты «Доктор Веб» рекомендуют администраторам серверов, работающих на базе ОС Linux, проверить операционную систему. «Одним из признаков заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ», - сообщают они.

Более подробно ознакомиться с публикацией «Доктор Веб» вы можете здесь .

Также по теме:
Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.