Новости Обнаружен новый Linux-бэкдор WolfsBane

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.256
Репутация
11.800
Реакции
61.967
RUB
50
Аналитики ESET новый бэкдор для Linux под названием WolfsBane.

По данным исследователей, этот вредонос является аналогом Windows-бэкдора, который с 2014 года применяет китайская хак-группа Gelsemium.

WolfsBane представляет собой полноценную малварь, в состав которой входят дроппер, лаунчер и сам бэкдор, а для уклонения от обнаружения здесь используется модифицированный опенсорсный руткит.

Brx1k52uQaFW-GS1cqnu_WI7Sw9xCsESDcOtgRdoPUPaSQ0udYSypYMys8kCPVYVnq99-REfcwApbSBeGs-fC0m-ZN_W7Ff-A7J44Xqq6_9_ZggebVDFTxeB_oURPlcq_Tl7SVjgydKvT_-dCWBSXYXsOsd4CjJwDEYzeg-prRshvEa-gYg2u2D4HqZGkuT7UEdRIG1E210z5PLTd3xDOuk6TUJ-_urGkUjQuBVlUkfjyAzeY1AzQBV5B1IvpbsiFJNxuIWSNopB6BiBWrHp6WhATAZ8fNx9NsHfzkFocgHrCVtnbevw0pVb7ZcfUmdf88o1y2xgIlEvQQp5KbeyCRyuR5ejjgybddMuj2Gxxe1fWFAOUmfEdC_gwdtMRWINzztYekbW08SIUuG7C0h7ZPHpP9JdSAxwIH8wSCiNlwE7q0qIu682j2DhG4Vkkdj5bEd9AVVz3V4S9ufcWHdRBNkgS1900NnxjlnXhS5gQVfM-ifzfVkmUBVkNHA1kokCCI5npJ-3B6hV8xKhcJDm_lVTXDt_Tf9KHsroz3dEUCHPFXx7Uur67Ihq3LouUUdH5u0C9XRSKm0FeBZtEb-5OxqXWIa-lQyuYsEFp1yU7dNZb1EaTm3fWSnh6e9FRng05BNjTEf608SUcO-ODH5eVuPUANxfRCp0DF0sXTuLuQYyl2uGt5QDr17xDpVpgfvxUH1TC3Nf_EwpzvjbdElPG-gKYVdS2-verXL0sw5IbkLh0CHpTW0odiprE0gUhKgPIYtUgreZFqZc-SKrWJXZ0lFfTTJgXOFZKeHq6Xp4SSzxCnV-Vvrv94pX3J0pZVpn0dkr9mhHM2IYWSVMBLiyKiq4QrimnDaoePkpvUWw7_dSel8MSVz8ayvI6s1mSWczzQFMe0_W5_etV-iJCFd7SsX3Fd1FZBFDJ1kjSzm0hRsDnGC5h60OvmflJLV4ndjRX2ZEC0R2xloIyvjUa14


Пока неясно, как происходит исходное заражение, но исследователи полагают, что злоумышленники эксплуатируют некую уязвимость в веб-приложениях для создания веб-шеллов и получения постоянного удаленного доступа.

Сам WolfsBane внедряется в систему с помощью дроппера, который запускает компонент, замаскированный под компонент рабочего стола KDE. В зависимости от полученных привилегий, он отключает SELinux, создает системные служебные файлы или изменяет конфигурационные файлы пользователя, чтобы закрепиться в системе.

Затем лаунчер загружает вредоносный компонент udevd, который скачивает три зашифрованные библиотеки, содержащие основную функциональность и C&C-конфигурацию. А чтобы скрыть процессы, файлы и сетевой трафик, связанные с активностью WolfsBane, через /etc/ld.so.preload загружается модифицированная версия опенсорсного userland-руткита .


Схема атаки

«Руткит WolfsBane Hider перехватывает множество стандартных функций библиотеки C, включая open, stat, readdir и access, — поясняют в ESET. — Хотя они в итоге вызывают оригинальные функции, отфильтровываются любые результаты, связанные с WolfsBane».

Основная задача WolfsBane заключается в выполнении команд, полученных с управляющего сервера злоумышленников, с помощью предопределенных связок «команда-функция». Причем тот же механизм используется в аналоге малвари для Windows.

Среди таких команд: файловые операции, хищение данных и различные системные манипуляции, обеспечивающие Gelsemium полный контроль над взломанными устройствами.

Версия бэкдора для Linux (слева) и Windows (справа)

Также исследователи упоминают, что обнаружили еще одну Linux-малварь — FireWood, которая явно связанная с вредоносом Project Wood, ориентированным на Windows. Однако FireWood, по мнению аналитиков, является общим инструментом для шпионажа, которым пользуются сразу несколько китайских APT. То есть это не эксклюзивная разработка упомянутой группировки Gelsemium.

«Похоже, среди APT развивается тренд на смещение вредоносного ПО в сторону Linux-систем, — заключают аналитики. — С нашей точки зрения, такое развитие событий можно объяснить рядом достижений в области защиты электронной почты и эндпоинтов. Повсеместное внедрение EDR-решений, а также стратегия Microsoft по отключению макросов VBA по умолчанию приводят к тому, что злоумышленники вынуждены искать другие пути для своих атак».


 
Сверху Снизу