По данным исследователей из CERT Polska, злоумышленники внедряют в системы Linux и Windows вредоносное ПО, направленное на дальнейшее осуществление DDoS-атак.
В настоящее время наблюдается расширение Linux-версии вируса, которую успешно использовали для осуществления атак по подбору паролей SSH-клиента. Это значит, что уязвимыми являются только те системы, которые позволяют удаленный SSH-доступ и имеют слабые пароли защиты.
«Нам удалось получить в распоряжение статистически скомпонованный 32-битный файл ELF», - сообщили представители CERT Polska в своем блоге. Исполняемый файл работает в режиме демона и подключается к C&C-серверу посредством использования зашифрованного IP-адреса и порта.
После первого запуска вредоносное ПО отправляет данные об операционной системе и ждет дальнейших команд от злоумышленников.
Благодаря анализу исследователям удалось установить, что вирус позволяет осуществление DDoS-атак четырех типов. Одной из них является атака DNS Amplification, в рамках которой на DNS-сервер отправляется запрос, содержащий 256 случайных или заранее определенных поисковых запросов.
Во время осуществления атаки вирус постоянно общается с подконтрольным злоумышленникам сервером, предоставляя данные о запускаемых процессах, скорости процессора, загрузке системы и скорости сетевого подключения.
Что касается Windows-версии, то вредоносное ПО устанавливается в следующую директорию: «C:\Program Files\DbProtectSupport\svchost.exe» и запускается вместе с системой. Единственным отличием является то, что этот вирус подключается к C&C-серверу через доменное имя, а не IP-адрес. При этом используется один и тот же сервер.
Источник: SecurityLab
|
