Архив

ELF_Adore: очередной опыт «приручения» Linux

ELF_Adore (aka Unix/Adore, ADORE.A, Red Worm, Linux/Adore) — интернет червь заражающий системы, работающие под управлением ОС Linux. Для проникновения на компьютер Adore использует четыре бреши в безопасности ОС Linux: BIND, wu-ftpd, rpc-statd, и lpd сервисе.

Все четыре эксплоита позволяют злоумышленнику получить доступ на атакуемый компьютер с правами ROOT. Удаленный пользователь может копировать, удалять и запускать на выполнение файлы.

Для заражения системы червь случайным образом выбирает из блока B IP-адрес и проверяет компьютер на наличие дыр в безопасности. Если подходящая для заражения система обнаружена, червь закачивает (с правами «super-user») на жертву архив со своим основным кодом, распаковывает его в директорию «/usr/local/bin/lib/». Затем Adore запускает скрипт «start.sh» который заменяет процесс «bin/ps» на Linux машине.
Оригинальный процесс записывается как «/usr/bin/adore».

После заражения компьютера червь пытается отослать на email-адреса:

adore9000@21cn.comsd
adore9000@sina.com
adore90001@21cn.com
adore9001@sina.com

информацию из:

/etc/ftpusers
ifconfig
/root/.bash_history
/etc/hosts
/etc/shadow

Червь также запускает backdoor-программу «ICMP», которая «слушает» порт 65535. Соединение с этой компонентой открывается, если послать на этот порт ping-пакет определенного размера.

Кроме этого, червь создает еще один скрипт «/etc/cron.daily/0anacron», который исполняется как «cron daemon» на следующий день после заражения. Этот скрипт «заметает следы»: удаляет код червя из системы, восстанавливает оригинальный «/bin/ps» и останавливает все процессы, запущенные червем кроме backdoor-компоненты «ICMP».

ELF_Adore: очередной опыт «приручения» Linux

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике