CERT Polska ostrzega przed botnetem korzystającym z Windows i Linuksa

Nie tylko autorzy dobrych programów myślą o niezależności względem systemów operacyjnych. Coraz częściej myślą też o tym autorzy programów niedobrych, a wręcz skrajnie złośliwych. Rosnąca heterogeniczność klientów spotykanych w Sieci zachęca do tworzenia malware, które atakuje nie tylko Windows, a prace w tym kierunku są już całkiem zaawansowane. Eksperci z CERT Polska ostrzegają przed bardzo ciekawym botnetem, który od kilku tygodniu przejmuje komputery zarówno z Windows, jak i z Linuksem.

Technicznego wyrafinowania tu nie ma: Linux atakowany jest poprzez atak słownikowy na SSH, napastnik loguje się do maszyny, a następnie pobiera plik z botem i uruchamia go. To 32-bitowy, statycznie zlinkowany demon, który próbuje połączyć się ze swoim serwerem dowodzenia i kontroli, wysyła dane o zainfekowanej maszynie (wersja jądra, szybkość procesora, obciążenie systemu) i czeka na rozkazy. Lista działań, jakie bot może wykonać, ogranicza się do ataków DDoS – przede wszystkim DNS Amplification, w którym wysyłane są żądania zawierające 256 losowo wygenerowanych zapytań, ze sfałszowanym adresem zwrotnym.

Na Windows z kolei uruchamiany jest fałszywy plik svchost.exe, rejestrujący w systemie nową usługę o nazwie DBProtectSupport, uruchamianą automatycznie ze startem systemu. Odpytuje ona DNS Google'a o adres IP pewnej domeny .com, po czym bot łączy się z tym adresem, by wyczekiwać na rozkazy. Zakres możliwych działań bota jest taki sam, jak w wersji linuksowej, podobnie też „dzwoni on do domu”, by wysłać informacje o systemie.

Jak wynika z danych Virus Total, ze szkodnikiem w wersji dla „okienek” oprogramowanie ochronne radzi sobie nieźle – większość antywirusów wykrywa szkodnika, klasyfikując go jako Win32:Malware-gen (Avast), Trojan.Win32.Swisyn.cskp (Kaspersky) czy Backdoor:Win32/Farfli.BD (Microsoft). Znacznie gorzej jest w wypadku wersji linuksowej – wychwytują ją jedynie Avast (ELF:Agent-BC), DrWeb (Linux.DDoS.3) i ESET-NOD32 (Linux/Agent.G.Gen). W tej sytuacji warto zadbać o to, by serwer SSH nie umożliwiał dostępu z zewnątrz poprzez hasła, o wiele lepszym rozwiązaniem jest stosowanie kryptografii klucza publicznego.

Eksperci z CERT przekonani są, że obie wersje bota są dziełem tej samej grupy, poszukującej przede wszystkim maszyn z dobrym łączem do Sieci (w praktyce – serwerów). Taka potrzeba usprawiedliwiałaby tworzenie linuksowego bota – choć system spod znaku pingwina na desktopie nie występuje za często, to w wypadku zastosowań serwerowych, szczególnie hostingowych, jest wręcz odwrotnie.