Перейти к содержанию
ozaitsev

Не менее 800 серверов в России заражены в ходе «Операции Windigo»

Recommended Posts

ozaitsev

Международная антивирусная компания ESET опубликовала результаты анализа «Операции Windigo» – крупнейшей кибератаки, жертвами которой стали тысячи серверов. Инфицированные системы используются для кражи учетных данных, перенаправления трафика на вредоносный контент, заражения пользователей и рассылки спама.

Операция Windigo началась предположительно в 2011 году. В течение нескольких лет ее организаторам удалось скомпрометировать более 25 000 Linux- и UNIX-серверов и широкий спектр операционных систем, включая Windows, OS X, OpenBSD, FreeBSD и Linux. В числе пострадавших от Windigo такие организации, как cPanel и Linux Foundation.

Для получения доступа к серверам авторы Windigo не использовали какие-либо уязвимости – только украденные учетные данные и изначально скомпрометированные приложения. В дальнейшем база учетных записей пополнялась за счет вновь зараженных машин.

Сегодня в мире используется порядка 10 000 зараженных серверов. Ежедневно на набор эксплойтов перенаправляются свыше 500 000 посетителей скомпрометированных сайтов. В случае успешного перенаправления уровень заражения достигает 1%. Windigo отвечает также за рассылку порядка 35 млн спам-писем в день.

«Мы установили, что атакующие смогли провести операцию установки вредоносной программы на десятках тысяч серверов, – говорит Марк-Этьен Левейе, вирусный аналитик ESET. – Использование антивирусных продуктов и механизмов двухфакторной аутентификации для рабочих станций является обычным явлением, но, к сожалению, эти способы редко применяют для защиты серверов. Как следствие – злоумышленники могут установить вредоносный код и похитить аутентификационные данные учетных записей».

Эксперты вирусной лаборатории ESET совместно с группой CERT-Bund, исследовательским центром SNIC, организацией CERN и другими участниками международной рабочей группы выяснили, что в операции Windigo было задействовано 6 видов вредоносного ПО и сервисов:

  1. Linux/Ebury – компрометирует серверы под управлением Linux, предоставляет злоумышленникам полный доступ к системе через командную строку и возможность кражи учетных данных SSH;
  2. Linux/Cdorked – компрометирует веб-серверы под управлением Linux, предоставляет злоумышленникам полный доступ к системе через командную строку, отвечает за заражение вредоносным кодом пользователей Windows;
  3. Linux/Onimiki – компрометирует DNS-серверы Linux, отвечает за преобразование доменных имен, совпадающих с определенным шаблоном, в соответствующие IP-адреса;
  4. Perl/Calfbot – компрометирует все ОС, которые имеют в своем составе установленный пакет Perl, отвечает за рассылку спама;
  5. Win32/Boaxxe.G – используется для организации кликфрода;
  6. Win32/Glupteba.M – используется как прокси-сервис для Windows.
20140326-img-1.png
Взаимодействие компонентов программ и сервисов в составе «Операции Windigo»

Россия входит в число стран, где находится больше всего атакованных серверов. В частности, РФ занимает 8-ю строку списка государств, где находятся зараженные Linux/Ebury сервера, и входит в тройку стран, где обнаружено больше всего машин, пострадавших от Perl/Calfbot.

Атакующие по максимуму используют возможности скомпрометированных серверов и пользовательских устройств, запуская на них различное вредоносное ПО – в зависимости от полученного уровня доступа.

Участники рабочей группы ESET отмечают, что вредоносные программы Windigo разработаны на достаточно высоком уровне. В них используются техники сокрытия присутствия в системе, переносимость между различными платформами, криптография.

Чтобы детектировать заражение сервера, эксперты ESET рекомендуют веб-мастерам и системным администраторам запустить следующую команду:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo ”System clean” || echo ”System infected”

Если система заражена Windigo, потребуется полная очистка памяти, переустановка операционной системы и всего программного обеспечения. Необходимо также сменить все используемые пароли и ключи, поскольку существующие учетные данные могут быть скомпрометированы.

«Веб-мастерам и IT-специалистам хватает головной боли, и мы бы не беспокоили их, если бы это не было так важно, – объясняет Марк-Этьен Левейе. – Для каждого «гражданина сети» это шанс проявить сознательность и помочь защитить других пользователей. Никто не хочет участвовать в распространении спама и вредоносного ПО. Всего несколько минут – и вы поможете в решении этой проблемы».

Более подробная информация о вредоносных элементах «Операции Windigo», механике заражения и устранении угрозы представлена в блоге ESET на Хабрахабре, а также в техническом докладе «Операция Windigo»: http://www.welivesecurity.com/wp-content/u...ion_windigo.pdf

Пресс-выпуск.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
×