- Регистрация
- 11 Ноя 2019
- Сообщения
- 1,667
- Реакции
- 72
- Репутация
- 0
Обнаружен растущий ботнет на Linux-серверах, способный проводить DDoS-атаки. Для распространения своего зловреда ботоводы уязвимость в веб-интерфейсе Webmin, которую разработчики пропатчили в августе.
Проблема, получившая идентификатор , позволяет удаленно и без авторизации выполнить в системе любую команду с правами root. Эксплуатация возможна лишь в том случае, когда порт Webmin-службы (TCP/10000) открыт и доступна опция смены пароля.
Согласно , инструмент удаленного администрирования Webmin насчитывает более миллиона установок. На момент выхода патча для CVE-2019-15107 в Интернете свыше 200 тыс. серверов на базе Unix-подобных ОС с открытым TCP-портом 10000; более 13 тыс. из них использовали уязвимую версию Webmin.
О существовании ботнета, который в Qihoo 360 нарекли Roboto, исследователи впервые узнали в конце августа, обнаружив среди детектов подозрительный ELF-файл. В октябре на объявился другой незнакомый образец, оказавшийся загрузчиком нового бота. За три месяца наблюдений экспертам удалось собрать достаточно материала для анализа, и два дня назад они опубликовали полученные результаты.
Как оказалось, загрузчик проникает на сервер посредством эксплуатации вышеупомянутой уязвимости в Webmin. Модуль бота он скачивает с двух вшитых в код URL в соответствии с архитектурой используемого жертвой ЦП (i386 или x86_64). Он также расшифровывает полезную нагрузку и запускает ее на исполнение.
Набор функций нового Linux-бота позволяет ему совершать следующие действия:
Чтобы скрыть свое присутствие на зараженной машине, новый бот создает скрипт самозапуска и маскирует имена своих файлов и процессов. Для обеспечения целостности и сохранности своих компонентов и отправляемых данных Roboto использует множество алгоритмов, в том числе Curve25519, Ed25519, TEA, SHA256 и HMAC-SHA256.
Однако самым большим сюрпризом для исследователей оказалась внутренняя структура ботнета: он построен как , то есть его обезвредить. В код бота Roboto вшиты четыре группы IP-адресов пиров и открытые ключи для шифрования данных и проверки подлинности. Закрытые ключи зловред хранит в создаваемых им конфигурационных файлах вместе с информацией о пирах и портах.
Команды боту могут подаваться через , и новый участник сети начнет их транслировать другим пирам. На настоящий момент удалось выявить две команды Roboto: info и peers. По первой бот должен предъявить прописанные в коде данные и информацию о публичном ключе, по второй — сведения о текущем p2p-собеседнике.
Проблема, получившая идентификатор , позволяет удаленно и без авторизации выполнить в системе любую команду с правами root. Эксплуатация возможна лишь в том случае, когда порт Webmin-службы (TCP/10000) открыт и доступна опция смены пароля.
Согласно , инструмент удаленного администрирования Webmin насчитывает более миллиона установок. На момент выхода патча для CVE-2019-15107 в Интернете свыше 200 тыс. серверов на базе Unix-подобных ОС с открытым TCP-портом 10000; более 13 тыс. из них использовали уязвимую версию Webmin.
О существовании ботнета, который в Qihoo 360 нарекли Roboto, исследователи впервые узнали в конце августа, обнаружив среди детектов подозрительный ELF-файл. В октябре на объявился другой незнакомый образец, оказавшийся загрузчиком нового бота. За три месяца наблюдений экспертам удалось собрать достаточно материала для анализа, и два дня назад они опубликовали полученные результаты.
Как оказалось, загрузчик проникает на сервер посредством эксплуатации вышеупомянутой уязвимости в Webmin. Модуль бота он скачивает с двух вшитых в код URL в соответствии с архитектурой используемого жертвой ЦП (i386 или x86_64). Он также расшифровывает полезную нагрузку и запускает ее на исполнение.
Набор функций нового Linux-бота позволяет ему совершать следующие действия:
- создать обратный шелл, позволяющий злоумышленникам выполнять шелл-команды на зараженном хосте;
- собирать информацию о системе, запущенных процессах и сети и отправлять ее на удаленный сервер;
- выполнять системные команды;
- запускать загруженные файлы;
- деинсталлироваться;
- проводить DDoS-атаки типа ICMP flood, HTTP flood, TCP flood и UDP flood.
Чтобы скрыть свое присутствие на зараженной машине, новый бот создает скрипт самозапуска и маскирует имена своих файлов и процессов. Для обеспечения целостности и сохранности своих компонентов и отправляемых данных Roboto использует множество алгоритмов, в том числе Curve25519, Ed25519, TEA, SHA256 и HMAC-SHA256.
Однако самым большим сюрпризом для исследователей оказалась внутренняя структура ботнета: он построен как , то есть его обезвредить. В код бота Roboto вшиты четыре группы IP-адресов пиров и открытые ключи для шифрования данных и проверки подлинности. Закрытые ключи зловред хранит в создаваемых им конфигурационных файлах вместе с информацией о пирах и портах.
Команды боту могут подаваться через , и новый участник сети начнет их транслировать другим пирам. На настоящий момент удалось выявить две команды Roboto: info и peers. По первой бот должен предъявить прописанные в коде данные и информацию о публичном ключе, по второй — сведения о текущем p2p-собеседнике.