Специалисты «Доктор Веб» предупреждают об обнаружении новой угрозы для Linux-систем. Троян Linux.Rex.1 написан на языке Go, и атакует сайты, работающие под управлением различных CMS, включая Drupal. Вредонос способен осуществлять DDoS-атаки, рассылать электронные письма и самостоятельно распространяться по сети.Первыми новую угрозу заметили пользователи форума Kernelmode и сочли трояна «вымогателем для Drupal» (Drupal ransomware), что оказалось не совсем верно. Специалисты «Доктор Веб» выяснили, что Linux.Rex.1 действительно атакует сайты, работающие на популярном движке Drupal, но этим его возможности не ограничиваются. Эксперты объясняют, современные ботнеты условно делятся на два типа. Ботнеты первого типа получают команды с управляющих серверов, а ботнеты второго типа работают вообще без них. Такие сети напрямую передают информацию от одного зараженного узла к другому.
Linux.Rex.1 как раз организует ботнет второго типа. Такие ботнеты называются одноранговыми, пиринговыми или P2P-сетями. В архитектуре Linux.Rex.1 имеется собственная реализация протокола DHT, позволяющего обмениваться информацией с другими зараженными узлами и создавать таким образом децентрализованный P2P-ботнет.
После заражения трояном, компьютер работает как один из узлов этой сети. Linux.Rex.1 принимает управляющие директивы по протоколу HTTPS от других инфицированных компьютеров и при необходимости передает их дальше, другим узлам ботнета. По команде троян начинает или останавливает DDoS-атаку на узел с заданным IP-адресом.
С помощью специального модуля, используя библиотеку github.com/natefinch/pie, троян способен сканировать сеть в поисках веб-сайтов, на которых установлены системы управления контентом Drupal, WordPress, Magento, JetSpeed и другие. Также он ищет сетевое оборудование под управлением операционной системы AirOS. Если это возможно, Linux.Rex.1 использует известные уязвимости в перечисленных продуктах, чтобы получить список пользователей, закрытые SSH-ключи, логины и пароли, хранящиеся на удаленных узлах. На платформе WordPress троян ищет уязвимые плагины WooCommerce, Robo Gallery, Rev Slider, WP-squirrel, Site Import, Brandfolder, Issuu Panel и Gwolle Guestbook. Сайты на базе Magento проверяются на уязвимости CVE-2015-1397, CVE-2015-1398 и CVE-2015-1399.
Еще одна функция Linux.Rex.1 — рассылка сообщений с угрозами по электронной почте. В этих письмах злоумышленники угрожают владельцам веб-сайтов организовать на них DDoS-атаку. Если письмо попало не по адресу, атакующие просят получателя переслать его ответственному сотруднику компании, которой принадлежит сайт. Чтобы избежать атаки, потенциальной жертве предлагается заплатить выкуп в биткоин эквиваленте. Письмо с угрозами Специалисты «Доктор Веб» пишут, что для взлома сайтов, работающих под управлением Drupal, используется известная уязвимость CVE-2014-3704. Если баг не исправлен, с помощью SQL-инъекции троян авторизуется в системе.
Если взлом удался, Linux.Rex.1 загружает на скомпрометированный сайт собственную копию и запускает ее. Таким образом в Linux.Rex.1 реализована саморепликация. Взято с xakep.ru
Comments