Эксперты рассказали о функционале Linux-бэкдора FakeFile
Исследователи компании «Доктор Веб» опубликовали анализ функциональности бэкдора, способного работать на устройствах под управлением ОС Linux. Троян, получивший название Linux.BackDoor.FakeFile.1 (по классификации «Доктор Веб»), маскируется под PDF-файлы, документы MS Office или Open Office.
При запуске вредонос сохраняет себя в папку .gconf/apps/gnome-common/gnome-common в домашней директории пользователя. Затем в папке, из которой запускается, он ищет скрытый файл с аналогичным своему именем и перемещает его на место исполняемого файла. В случае отсутствия документа, троян создает его и открывает в gedit.
На следующем этапе FakeFile проводит проверку имени дистрибутива Linux, установленного на системе. Если оно отлично от openSUSE, троян записывает в файлы <HOME>/.profile или <HOME>/.bash_profile команду для своего автозапуска. Далее вредоносная программа извлекает из собственного файла и расшифровывает конфигурационные данные, а затем запускает два потока. Первый предназначен для обмена данными с C&C-сервером, а второй отслеживает продолжительность соединения (после 30 минут соединение разрывается).
Функционал бэкдора включает следующие возможности: передачу различных данных на управляющий сервер; удаление каталога и файла; переименование указанной папки, самоудаление; запуск новой копии процесса; организация и завершение backconnect, запуск sh; создание файлов и папок и пр.
Как отмечают исследователи, для работы трояна не требуются привилегии суперпользователя. Вредонос может выполнять действия с правами текущего пользователя.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш