forum.opennet.ru

Составление сообщения

Исходное сообщение

"Linux-бэкдор, организующий скрытый канал связи в легитимном ..."
Отправлено opennews, 16-Ноя-13 00:13

Компания Symantec в результате разбора атаки на одного из крупных хостинг-провайдеров выявила (http://www.symantec.com/connect/blogs/linux-back-door-uses-c...) новый вид бэкдора для Linux. Бэкдор выполнен в форме разделяемой библиотеки, перехватывающей ряд стандартных вызовов, таких как read, EVP_CipherInit, fork и ioctl. Библиотека связывается с работающими на системе сетевыми процессами, такими как sshd, берёт на себя обработку указанных вызовов и получает контроль над трафиком поражённых серверных приложений.

При работе бэкдор не сохраняет файлов, не создаёт сокетов и не инициирует сетевые соединения, прикрываясь в своей активности поражённым серверным процессом, что затрудняет его обнаружение. Управляющие команды передаются в составе штатного сетевого трафика, через интеграцию подставных блоков. Бэкдор отслеживает появление в нормальном, не вызывающем подозрение, трафике маску ":!;.", при обнаружении которой декодирует следующий за ней блок данных. Данные закодированы с использованием шифра Blowfish и следуют в формате Base64.

Через закодированные блоки, примешанные в обычный трафик, могут передаваться управляющие команды для выполнения произвольной shell-команды или отправки в ответ накопленных бэкдором данных. Основное функцией бэкдора является перехват и накопление конфиденциальных данных, таких как пароли, ключи шифрования и email-адреса. В частности, поддерживается перехват паролей и SSH-ключей пользователей, подсоединяющихся к поражённой системе.

В качестве методов выявления бэкдора может использоваться анализ наличия маски ":!;." в трафике. Но этот метод не эффективен, так как бэкдор может длительное время не проявлять себя. Более надёжным вариантом является сохранение дампа памяти работающего процесса sshd и поиск в нём специфичных для бэкдора строковых данных, таких как "key=", "dhost=", "hbt=3600", "sp=", "sk=" и "dip=".
URL: http://www.symantec.com/connect/blogs/linux-back-door-uses-c...
Новость: https://www.opennet.ru/opennews/art.shtml?num=38441

Исходное сообщение
"Linux-бэкдор, организующий скрытый канал связи в легитимном ..." Отправлено opennews, 16-Ноя-13 00:13
Компания Symantec в результате разбора атаки на одного из крупных хостинг-провайдеров выявила (http://www.symantec.com/connect/blogs/linux-back-door-uses-c...) новый вид бэкдора для Linux. Бэкдор выполнен в форме разделяемой библиотеки, перехватывающей ряд стандартных вызовов, таких как read, EVP_CipherInit, fork и ioctl. Библиотека связывается с работающими на системе сетевыми процессами, такими как sshd, берёт на себя обработку указанных вызовов и получает контроль над трафиком поражённых серверных приложений. При работе бэкдор не сохраняет файлов, не создаёт сокетов и не инициирует сетевые соединения, прикрываясь в своей активности поражённым серверным процессом, что затрудняет его обнаружение. Управляющие команды передаются в составе штатного сетевого трафика, через интеграцию подставных блоков. Бэкдор отслеживает появление в нормальном, не вызывающем подозрение, трафике маску ":!;.", при обнаружении которой декодирует следующий за ней блок данных. Данные закодированы с использованием шифра Blowfish и следуют в формате Base64. Через закодированные блоки, примешанные в обычный трафик, могут передаваться управляющие команды для выполнения произвольной shell-команды или отправки в ответ накопленных бэкдором данных. Основное функцией бэкдора является перехват и накопление конфиденциальных данных, таких как пароли, ключи шифрования и email-адреса. В частности, поддерживается перехват паролей и SSH-ключей пользователей, подсоединяющихся к поражённой системе. В качестве методов выявления бэкдора может использоваться анализ наличия маски ":!;." в трафике. Но этот метод не эффективен, так как бэкдор может длительное время не проявлять себя. Более надёжным вариантом является сохранение дампа памяти работающего процесса sshd и поиск в нём специфичных для бэкдора строковых данных, таких как "key=", "dhost=", "hbt=3600", "sp=", "sk=" и "dip=". URL: http://www.symantec.com/connect/blogs/linux-back-door-uses-c... Новость: https://www.opennet.ru/opennews/art.shtml?num=38441

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания Symantec в результате разбора  атаки на одного из  крупных 
> хостинг-провайдеров  выявила (http://www.symantec.com/connect/blogs/linux-back-door-uses-covert-communication-protocol) 
> новый вид бэкдора для Linux. Бэкдор выполнен в форме разделяемой библиотеки, 
> перехватывающей ряд стандартных вызовов, таких как read, EVP_CipherInit, fork и ioctl. 
> Библиотека связывается с работающими на системе сетевыми процессами, такими как sshd, 
> берёт на себя обработку указанных вызовов и получает контроль над трафиком 
> поражённых серверных приложений.

> При работе бэкдор не сохраняет файлов, не создаёт сокетов и не инициирует 
> сетевые соединения, прикрываясь в своей активности поражённым серверным процессом, что 
> затрудняет его обнаружение. Управляющие команды передаются в составе штатного сетевого 
> трафика, через интеграцию подставных блоков. Бэкдор отслеживает появление в нормальном, 
> не вызывающем подозрение, трафике маску ":!;.", при обнаружении которой декодирует следующий 
> за ней блок данных. Данные закодированы с использованием шифра Blowfish и 
> следуют в формате Base64.

> Через закодированные блоки, примешанные в обычный трафик, могут передаваться управляющие 
> команды для выполнения произвольной shell-команды или отправки в ответ накопленных бэкдором 
> данных. Основное функцией бэкдора является перехват и накопление конфиденциальных данных, 
> таких как пароли, ключи шифрования и email-адреса. В частности, поддерживается перехват 
> паролей и SSH-ключей пользователей, подсоединяющихся к поражённой системе.

> В качестве методов выявления бэкдора может использоваться анализ наличия маски ":!;." в 
> трафике. Но этот метод не эффективен, так как бэкдор может длительное 
> время не проявлять себя. Более надёжным вариантом является сохранение дампа памяти 
> работающего процесса sshd и поиск в нём специфичных для бэкдора строковых 
> данных, таких как "key=", "dhost=", "hbt=3600", "sp=", "sk=" и "dip=".

> URL: http://www.symantec.com/connect/blogs/linux-back-door-uses-covert-communication-protocol 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=38441

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру