Linux.Sshdkit заражает Linux-серверы


Linux.Sshdkit - вредоносная программа, представляющая из себя динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. Механизм распространения трояна пока еще до конца не изучен, однако полагается, что его установка на атакуемые серверы осуществляется с использованием критической уязвимости. Последняя версия данной вредоносной программы имеет номер 1.2.1, а одна из наиболее ранних — 1.0.3 — распространяется на протяжении довольно-таки длительного времени.

После успешной установки в систему троян встраивается в процесс

  • sshd

перехватывая функции аутентификации данного процесса. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер посредством протокола UDP. IP-адрес управляющего центра "зашит" в теле троянской программы, однако адрес командного сервера каждые два дня генерируется заново. Для этого Linux.Sshdkit применяет весьма своеобразный алгоритм выбора имени командного сервера.

Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троян и передает похищенную информацию.

Алгоритм генерации адреса командного сервера используемый данной вредоносной программой

Algoritm generacii adresa comandn serweraisp vredonos prog

Специалисты компании "Доктор Веб" перехватили один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole, в результате чего было получено практическое подтверждение того, что троян передает на удаленные узлы, похищенные с атакованных серверов логины и пароли.

Одним из признаков заражения серверов, работающих под управлением ОС Linux, может служить наличие библиотеки

  • /lib/libkeyutils*

размером от 20 до 35 КБ.