Linux.LuaBot - многокомпонентный троян для Linux


Linux.LuaBot - семейство вредоносных программ для ОС Linux, предназначенных для выполнения различных вредоносных функций.

Трояны семейства Linux.LuaBot представляют собой модифицированный интерпретатор языка Lua, в котором зашит вредоносный lua-сценарий. Этот сценарий устанавливает соединение с управляющим сервером, получает от него другие сценарии на языке lua и выполняет их. Загруженные на зараженное устройство сценарии могут выполнять различные функции:

  • реализовывать атаки на отказ в обслуживании (DDoS-атаки);
  • устанавливать в систему другое вредоносное ПО;
  • другой вредоносный функционал.


Всего Linux.LuaBot состоит из 31 Lua-сценария и двух дополнительных модулей, каждый из которых выполняет собственную функцию. Троян способен заражать устройства с архитектурами:

  • Intel x86 (и Intel x86_64);
  • MIPS;
  • MIPSEL;
  • Power PC;
  • ARM;
  • SPARC;
  • SH4;
  • M68k.

Linux.LuaBot Zarajaet arhitekturi

Другими словами, вредонос способен заражать не только компьютеры, но и широчайший ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер и других "умных" девайсов.

Все входящие в состав Linux.LuaBot сценарии взаимосвязаны. Троян генерирует список IP-адресов, которые будет атаковать. После этого он пытается соединиться с удаленными устройствами по созданному списку и авторизоваться путем перебора логинов и паролей по словарю. Скрипты, с использованием которых осуществляется взлом сетевых узлов, умеют определять архитектуру атакуемого устройства по заголовку файла "/bin/ls" целевого устройства и имеют специальный механизм для детектирования "ханипотов" с использованием команды "echo -en" (от англ. honeypot, "горшочек с медом" - сервера, играющие роль приманки для злоумышленников).

Linux.LuaBot Detektirovanie hanipotov

При этом атаки выполняются как по протоколу Telnet, так и посредством SSH — за работу с каждым из этих протоколов отвечает отдельный Lua-сценарий. При удачном получении доступа к устройству, вредоносный скрипт устанавливает на него трояна Linux.LuaBot соответствующей архитектуры в файл "/tmp/drop".

Linux.LuaBot Sohranenie

В процессе атаки по протоколу Telnet на скомпрометированный узел сначала загружается небольшой модуль. После его запуска начинается скачивание самого трояна. В случае атаки по протоколу SSH - троян загружается сразу в файл /tmp/drop и запускается.

Один из модулей Linux.LuaBot представляет собой полноценный веб-сервер, который работает по протоколу HTTP. Сервер может:

  • сохранить на инфицированном устройстве и выполнить приложение;
  • передать по запросу файл из своей директории;
  • сообщать информацию о версии трояна.


Linux.LuaBot общается с управляющим сервером по протоколу HTTP, при этом вся передаваемая информация шифруется. Для поиска свежих конфигурационных файлов и модулей используется сеть P2P на основе протокола Bittorent DHT, такого же, который задействован в обычных торрент-сетях. За эту функцию отвечает другой скрипт. Все принимаемые и передаваемые сообщения проверяются на подлинность с помощью цифровой подписи. Если P2P-сеть недоступна, отдельный сценарий выполняет обновление Linux.LuaBot с помощью других зараженных узлов, закачивая свои файлы на скомпрометированные устройства по специальному запросу. Этот сценарий присутствовал только в ранних версиях трояна.

Опасность Linux.LuaBot для владельцев Linux-устройств заключается в том, что этот троян фактически является бэкдором, то есть способен выполнять поступающие от злоумышленников команды. Ранние версии этой вредоносной программы запускали на скомпрометированном устройстве прокси-сервер, который злоумышленники использовали для анонимизации своих действий в Интернете.

Географическое распределение уникальных IP-адресов устройств, зараженных Linux.LuaBot

Geograficheskoe raspredelenie ip-adresov Linux.LuaBot


Подробнее о модулях и сценариях >>>