Выявлен бэкдор, организующий скрытый канал связи в легитимном сетевом трафике
В результате анализа атаки на одного из крупных хостинг-провайдеров выявлен новый вид бэкдора для GNU/Linux, выполненный в форме разделяемой библиотеки, перехватывающей ряд стандартных вызовов. Библиотека связывается с работающими на системе сетевыми процессами, такими как sshd, берёт на себя обработку указанных вызовов и получает контроль над трафиком поражённых серверных приложений.
При работе бэкдор использует штатные серверный процессы и прослушивает их сетевой трафик. Бэкдор отслеживает появление в трафике маски :!;., при обнаружении которой декодирует следующий за ней блок данных. Данные зашифрованы шифром Blowfish и следуют в формате Base64.
Через закодированные блоки могут передаваться управляющие команды для выполнения произвольной shell-команды или инициирующие отправку собранных данных. Основной функцией бэкдора является перехват и накопление конфиденциальных данных, таких как пароли, ключи шифрования и e-mail. В частности, осуществляется перехват паролей и SSH-ключей пользователей, подключающихся к поражённой системе.
Подробности об атаке, в результате которой был установлен бэкдор, не сообщаются.
backdoor, security, безопасность, решето
