Выявлено вредоносное ПО Mayhem, поражающее серверы под управлением Linux и FreeBSD

Выявлен вредонос Mayhem, поражающий серверы под управлением Linux и FreeBSD

Группа исследователей из компании Яндекс опубликовала результаты анализа нового вредоносного ПО Mayhem, реализующего аналогичные Windows-ботам средства для серверов на базе Linux и FreeBSD, которые могут работать без получения расширенных привилегий, довольствуясь правами пользователя хостинга, полученными после проникновением через эксплуатацию уязвимостей в web-приложениях.

Исследование проведено на основе изучения работы двух управляющих серверов, обслуживающих примерно 1400 инфицированных вредоносным ПО узлов ботнета.

Mayhem примечателен сложной и гибко расширяемой архитектурой. После успешной эксплуатации уязвимости в web-приложении, на сервер загружается PHP-скрипт, производящий инициализацию бота, который выполнен в форме разделяемой библиотеки libworker.so, обладающей достаточно богатой функциональностью. Интерес представляет метод запуска вредоносного ПО: выполняется штатная системная утилита /usr/bin/host с выставленным флагом LD_PRELOAD=libworker.so, при этом в библиотеке libworker.so переопределяется функция exit(). Используемые в процессе работы Mayhem файлы и плагины сохраняются в файле ".sd0", внутри которого создаётся образ ФС в формате FAT (применяется открытая библиотека fat_filelib), сообщает opennet.ru.

Поддерживается приём и отправка команд, работа в роли управляющего сервера или узла ботнета, подключение плагинов, реализованных в форме разделяемых библиотек. Например, доступны плагины для выполнения таких действий, как сканирование сайтов на наличие уязвимостей, которые могут привести к выполнению стороннего PHP-кода, сбор данных о сайтах под управлением WordPress, подбор паролей методом перебора для сайтов под управлением популярных систем управления контентом и панелей управления, подбор параметров FTP-аккаунтов, извлечение различной информации со страниц сайтов.

В статье также приводятся некоторые выводы, обобщающие текущие тенденции:

  • Ботнеты, создаваемые на основе web-серверов, нашли собственную нишу монетизации, связанную с перебросом трафика, применением грязных методов поисковой оптимизации и использованием загрузок для организации атак.
  • Web-серверы более интересны для атаки, чем обычные пользовательские ПК, так как они очень редко перезагружаются, имеют более качественное сетевое соединение и обладают более высокой вычислительной мощностью.
  • На серверах хостинга часто не используются средства автоматической установки обновлений, многие web-мастеры и системные администраторы устанавливают обновления вручную с последующей проверкой корректности работы инфраструктуры.
  • Для типового сайта качественное сопровождение является дорогим удовольствием и web-мастеры не всегда уделяют внимание отслеживанию появления новых выпусков с устранением уязвимостей. Подобная практика приводит к существованию в Сети большого числа уязвимых web-серверов, которые легко атаковать и использовать в ботнете.
  • В *nix-системах не распространено использование антивирусов. Web-мастеры не желают тратить время на изучение руководств по использованию различных систем упреждающей защиты и проверки систем.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Объём отгрузок Positive Technologies составил 26 млрд по итогам 2024 г.

По текущим управленческим данным, объём отгрузок Positive Technologies по итогам 2024 года составил около 26 млрд рублей, а фактически оплаченные поставки, по ожиданиям компании, достигнут 25,5 млрд рублей.

Окончательные результаты будут сформированы с учётом поступивших до 31 марта 2025 года платежей за отгруженные в 2024 году лицензии.

Финансовые показатели оказались ниже изначальных прогнозов. Влияние на итоги четвёртого квартала оказали изменения в денежно-кредитной политике, включая повышение ключевой ставки и удорожание заёмных средств, что ограничило возможности клиентов по освоению бюджетов.

В 2024 году Positive Technologies представила несколько новых продуктов. Среди них — PT NGFW (Next Generation Firewall), разработка которого заняла два года. Сертификация решения была завершена в ноябре 2024 года, после чего компания начала его внедрение на рынке сетевой безопасности.

Кстати, в сегодняшней статье мы пытались разобраться, реально ли создать продукт мирового уровня за два года.

По итогам 2024-го было проведено более 300 пилотных проектов, значительная часть которых находится на этапе подготовки контрактов и тендерных процедур. Основные поставки продукта ожидаются в 2025 году и последующие периоды.

В 2024 году компания также представила PT Dephaze — решение в сегменте breach and attack simulation (BAS) и автоматического тестирования на проникновение, а также PT Data Security для защиты данных. Запуск пилотных проектов и начало продаж этих решений запланированы на 2025 год.

Кроме того, Positive Technologies продолжила развивать направление метапродуктов, представив MaxPatrol Carbon, предназначенный для оценки киберустойчивости ИТ-инфраструктуры, и сервис PT Knockin для проверки защищенности корпоративной электронной почты.

Аудированная консолидированная финансовая и управленческая отчетность за 2024 год будет опубликована в начале апреля. Итоговые показатели включат оплаченные до 31 марта 2025 года отгрузки в соответствии с учётной политикой компании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru