Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Злоумышленники заражают Linux-серверы, используя уязвимость в Webmin, которую разработчики пропатчили в августе.
Обнаружен растущий ботнет на Linux-серверах, способный проводить DDoS-атаки. Для распространения своего зловреда ботоводы используют уязвимость в веб-интерфейсе Webmin, которую разработчики пропатчили в августе.
Проблема, получившая идентификатор CVE-2019-15107, позволяет удаленно и без авторизации выполнить в системе любую команду с правами root. Эксплуатация возможна лишь в том случае, когда порт Webmin-службы (TCP/10000) открыт и доступна опция смены пароля.
Согласно статистике разработчика, инструмент удаленного администрирования Webmin насчитывает более 1 млн установок. На момент выхода патча для CVE-2019-15107 в Интернете числилось свыше 200 тыс. серверов на базе Unix-подобных ОС с открытым TCP-портом 10000; более 13 тыс. из них использовали уязвимую версию Webmin.
О существовании ботнета, который в Qihoo 360 нарекли Roboto, исследователи впервые узнали в конце августа, обнаружив среди детектов подозрительный ELF-файл. В октябре на ловушках объявился другой незнакомый образец, оказавшийся загрузчиком нового бота. За три месяца наблюдений экспертам удалось собрать достаточно материала для анализа, и два дня назад они опубликовали полученные результаты.
Как оказалось, загрузчик проникает на сервер посредством эксплуатации вышеупомянутой уязвимости в Webmin. Модуль бота он скачивает с двух вшитых в код URL в соответствии с архитектурой используемого жертвой ЦП (i386 или x86_64). Он также расшифровывает полезную нагрузку и запускает ее на исполнение.
Набор функций нового Linux-бота позволяет ему совершать следующие действия:
Приводя этот перечень, исследователи отметили, что за все время мониторинга Roboto им удалось лишь один раз зафиксировать команду, связанную с DDoS, — по всей видимости, ботоводы пока сосредоточены на расширении своих владений.
Чтобы скрыть свое присутствие на зараженной машине, новый бот создает скрипт самозапуска и маскирует имена своих файлов и процессов. Для обеспечения целостности и сохранности своих компонентов и отправляемых данных Roboto использует множество алгоритмов, в том числе Curve25519, Ed25519, TEA, SHA256 и HMAC-SHA256.
Однако самым большим сюрпризом для исследователей оказалась внутренняя структура ботнета: он построен как одноранговая сеть, то есть его очень трудно обезвредить. В код бота Roboto вшиты четыре группы IP-адресов пиров и открытые ключи для шифрования данных и проверки подлинности. Закрытые ключи зловред хранит в создаваемых им конфигурационных файлах, вместе с информацией о пирах и портах.
Команды боту могут подаваться через сокет домена Unix, и новый участник сети начнет их транслировать другим пирам. На настоящий момент удалось выявить две команды Roboto: info и peers. По первой бот должен предъявить прописанные в коде данные и информацию о публичном ключе, по второй — сведения о текущем p2p-собеседнике.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |