Троянские программы для проведения DDoS-атак на Linux


В апреле-мае 2014 года специалистами Доктор Веб были выявлены и исследованы троянские программы для ОС Linux, которые в своем большинстве предназначены для организации DDoS-атак.

У всех этих вредоносных программ есть что-то общее:

  • Они предназначены для организации DDoS-атак с использованием различных протоколов;
  • Большинство этих DDoS-троянов созданы одним и тем же автором.


Например, вредоносная программа Linux.DDoS.3, после своего запуска определяет адрес командного сервера, а затем отправляет на него информацию об инфицированной системе. После чего ожидает получения конфигурационных данных с параметрами текущей задачи (отчет о выполнении также отправляется злоумышленникам). При использовании Linux.DDoS.3 можно осуществлять DDoS-атаки на заданный сервер с использованием протоколов TCP/IP (TCP flood), UDP (UDP flood), а также отправляет запросы на серверы DNS для усиления эффективности атак (DNS Amplification).

Модифицированная версия этого вредоноса Linux.DDoS.22, вовсе ориентирована на работу с дистрибутивами Linux для процессоров ARM, а Linux.DDoS.24 инфицирует серверы и рабочие станции, на которых используются 32-разрядные версии Ubuntu и CentOS. Устанавливается Linux.DDoS.24 в систему под именем pktmake и автоматически регистрирует себя в параметрах автозагрузки ОС. После запуска троянская программа собирает сведения об аппаратной конфигурации инфицированного компьютера (типе процессора, объеме памяти и др.), а затем отправляет ее в зашифрованном виде на принадлежащий киберпреступникам управляющий сервер. Основным предназначением данного вредоноса является выполнение DDoS-атак по команде с удаленного узла.

Следующей исследуемой группой угроз для ОС Linux стали троянские программы:

  • Linux.DnsAmp.1;
  • Linux.DnsAmp.2;
  • Linux.DnsAmp.3;
  • Linux.DnsAmp.4;
  • Linux.DnsAmp.5.


Некоторые вредоносные программы семейства Linux.DnsAmp используют сразу два управляющих сервера и способны инфицировать версии Linux:

  • 32-разрядные - Linux.DnsAmp.1, Linux.DnsAmp.3, Linux.DnsAmp.5;
  • 64-разрядные - Linux.DnsAmp.2, Linux.DnsAmp.4.


Linux.DnsAmp также регистрирует себя в автозагрузке, собирает и отправляет на удаленный сервер сведения о конфигурации инфицированной машины (версия ОС, частота процессора, объем свободной памяти и Swap-кэша, и т. д.), после чего ожидает поступления управляющих команд. К возможностям данного класса троянов можно отнести:

  • SYN Flood - отправка специально сформированного пакета на атакуемый узел до тех пор, пока тот не перестанет отвечать на запросы;
  • UDP Flood - устанавливается соединение с атакуемым узлом по протоколу UDP, после чего троян пытается отправить жертве 1 000 сообщений;
  • Ping Flood - с использованием протокола ICMP формируется эхо-запрос, в котором в качестве идентификатора используется PID процесса, а данные представляют собой hex-значение 0xA1B0A1B0;
  • DNS Amplification - отправка запросов на серверы DNS;
  • NTP Amplification - отправка запросов на серверы NTP (в ранних версиях трояна функция реализована, но не используется).


Еще Linux.DnsAmp по команде с удаленного сервера может записать информацию в файл журнала, повторить атаку или обновиться.

Linux.DnsAmp.3 (для 32-разрядных версий Linux) и Linux.DnsAmp.4 (для 64-разрядных Linux-дистрибутивов) - модифицированные версии троянов семейства Linux.DnsAmp, однако с предельно упрощенной системой команд. Эти разновидности трояна могут выполнять только три поступающих с управляющего сервера директивы:

  • начать DDoS-атаку;
  • остановить атаку;
  • записать данные в файл журнала.


Следует отметить, что многие из перечисленных выше вредоносных программ используют одни и те же управляющие серверы.

Также стоит упомянуть о вредоносной программе для ARM-совместимых дистрибутивов Linux - Linux.Mrblack. Данная троянская программа предназначена для осуществления DDoS-атак с использованием протоколов TCP/IP и HTTP. Он имеет примитивную архитектуру, а свои действия осуществляет по команде с управляющего сервера.

Kode LinuxMrblack

Командные центры, с использованием которых осуществляется управление упомянутыми троянскими программами, располагаются преимущественно на территории Китая. При этом реализованные с их помощью DDoS-атаки в основном направлены против китайских интернет-ресурсов.