Новая версия троянца угрожает серверам на базе ОС Linux

Новая версия троянца угрожает серверам на базе ОС Linux

Компания «Доктор Веб» сообщает об обнаружении новой версии троянской программы Linux.Sshdkit, представляющей опасность для работающих под управлением ОС Linux серверов. Согласно собранной аналитиками «Доктор Веб» статистике, на сегодняшний день от действий троянцев данного семейства пострадало уже несколько сотен серверов, среди которых имеются серверы крупных хостинг-провайдеров.

О первых версиях вредоносной программы Linux.Sshdkit компания «Доктор Веб» сообщала в феврале 2012 года. Данный троянец представляет собой динамическую библиотеку. При этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер, сообщает news.drweb.com.

Специалисты компании «Доктор Веб» перехватили несколько управляющих серверов предыдущей версии Linux.Sshdkit. Кроме того, нам удалось собрать статистику не только по количеству зараженных машин, но и определить их адреса. Всего в течение мая 2013 года троянец передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Обнаруженная специалистами «Доктор Веб» новая версия троянца, получившая название Linux.Sshdkit.6, также представляет собой динамическую библиотеку: в настоящий момент выявлена модификация, предназначенная для 64-битных Linux-систем. В данной реализации Linux.Sshdkit злоумышленники внесли ряд изменений с целью затруднить перехват вирусными аналитиками украденных паролей. Так, вирусописатели изменили метод определения адресов серверов, на которые троянец передает краденую информацию. Теперь для вычисления целевого сервера используется специальная текстовая запись, содержащая данные, зашифрованные RSA-ключом размером 128 байт. Алгоритм генерации адреса командного сервера показан на приведенной ниже иллюстрации.

Кроме того, вирусописатели изменили алгоритм получения троянцем команд: теперь для их успешного выполнения вредоносной программе передается специальная строка, для которой проверяется значение хеш-функции.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вышел бесплатный GPU-дешифратор для Linux-вымогателя Akira

Исследователь Йоханес Нугрохо выпустил бесплатный инструмент для расшифровки файлов, пострадавших от Linux-версии вымогателя Akira. Уникальность дешифратора заключается в использовании мощности графических процессоров (GPU) для восстановления ключей шифрования.

Изначально Нугрохо взялся за создание утилиты, чтобы помочь другу. Он предполагал, что задача займёт около недели, учитывая метод создания ключей шифрования в Akira.

Однако проект пришлось доводить до ума целых три недели, плюс он потребовал затрат на GPU-ресурсы в размере 1200 долларов США.

Особенность Akira заключается в использовании текущего времени с точностью до наносекунд в качестве сида для генерации уникальных ключей шифрования. Эти ключи дополнительно защищаются RSA-4096 и добавляются в конец каждого зашифрованного файла.

 

Поскольку вымогатель шифрует несколько файлов одновременно в многопоточном режиме, определить точную временную метку затруднительно. Изучив журналы событий и метаданные файлов, исследователь сузил диапазон поиска и применил мощные GPU-сервисы облачных платформ RunPod и Vast.ai.

Используя шестнадцать графических процессоров RTX 4090, ему удалось подобрать ключ примерно за 10 часов, хотя при большом объёме файлов процесс может занять несколько дней.

 

Дешифратор уже опубликован на GitHub с подробными инструкциями, однако автор напоминает пользователям о необходимости предварительного резервного копирования данных, поскольку неправильный ключ может привести к повреждению файлов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru