Выявлено вредоносное ПО Mayhem, поражающее серверы под управлением Linux и FreeBSD

Выявлен вредонос Mayhem, поражающий серверы под управлением Linux и FreeBSD

Группа исследователей из компании Яндекс опубликовала результаты анализа нового вредоносного ПО Mayhem, реализующего аналогичные Windows-ботам средства для серверов на базе Linux и FreeBSD, которые могут работать без получения расширенных привилегий, довольствуясь правами пользователя хостинга, полученными после проникновением через эксплуатацию уязвимостей в web-приложениях.

Исследование проведено на основе изучения работы двух управляющих серверов, обслуживающих примерно 1400 инфицированных вредоносным ПО узлов ботнета.

Mayhem примечателен сложной и гибко расширяемой архитектурой. После успешной эксплуатации уязвимости в web-приложении, на сервер загружается PHP-скрипт, производящий инициализацию бота, который выполнен в форме разделяемой библиотеки libworker.so, обладающей достаточно богатой функциональностью. Интерес представляет метод запуска вредоносного ПО: выполняется штатная системная утилита /usr/bin/host с выставленным флагом LD_PRELOAD=libworker.so, при этом в библиотеке libworker.so переопределяется функция exit(). Используемые в процессе работы Mayhem файлы и плагины сохраняются в файле ".sd0", внутри которого создаётся образ ФС в формате FAT (применяется открытая библиотека fat_filelib), сообщает opennet.ru.

Поддерживается приём и отправка команд, работа в роли управляющего сервера или узла ботнета, подключение плагинов, реализованных в форме разделяемых библиотек. Например, доступны плагины для выполнения таких действий, как сканирование сайтов на наличие уязвимостей, которые могут привести к выполнению стороннего PHP-кода, сбор данных о сайтах под управлением WordPress, подбор паролей методом перебора для сайтов под управлением популярных систем управления контентом и панелей управления, подбор параметров FTP-аккаунтов, извлечение различной информации со страниц сайтов.

В статье также приводятся некоторые выводы, обобщающие текущие тенденции:

  • Ботнеты, создаваемые на основе web-серверов, нашли собственную нишу монетизации, связанную с перебросом трафика, применением грязных методов поисковой оптимизации и использованием загрузок для организации атак.
  • Web-серверы более интересны для атаки, чем обычные пользовательские ПК, так как они очень редко перезагружаются, имеют более качественное сетевое соединение и обладают более высокой вычислительной мощностью.
  • На серверах хостинга часто не используются средства автоматической установки обновлений, многие web-мастеры и системные администраторы устанавливают обновления вручную с последующей проверкой корректности работы инфраструктуры.
  • Для типового сайта качественное сопровождение является дорогим удовольствием и web-мастеры не всегда уделяют внимание отслеживанию появления новых выпусков с устранением уязвимостей. Подобная практика приводит к существованию в Сети большого числа уязвимых web-серверов, которые легко атаковать и использовать в ботнете.
  • В *nix-системах не распространено использование антивирусов. Web-мастеры не желают тратить время на изучение руководств по использованию различных систем упреждающей защиты и проверки систем.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Чиновники мигрируют в MAX, но трафик в российском мессенджере низкий

По данным Коммуникационной группы «Полилог», реальная вовлеченность пользователей в MAX значительно ниже, чем в Telegram, и не превышает 5% его аудитории. При этом в MAX присутствуют аккаунты многих официальных лиц, включая губернаторов, которых нет в Telegram, что подчеркивает стремление властей осваивать новую платформу и формально расширять каналы коммуникации с гражданами.

По данным «Ведомостей» и АНО «Диалог Регионы», в MAX зарегистрированы 82 губернатора российских регионов из 85. Нет лишь главы Татарстана Рустама Минниханова, губернатора Волгоградской области Андрея Бочарова и врио главы Свердловской области Дениса Паслера.

При этом у губернаторов Ивановской и Тверской областей каналы есть только в MAX, тогда как в Telegram они отсутствуют.

Общее число подписчиков губернаторских каналов в MAX составляет около 350 тыс. человек, что в среднем равно 4182 подписчика на одного главу региона. Лидером является мэр Москвы Сергей Собянин, у которого более 37 тыс. подписчиков. В пятерку наиболее популярных также вошли руководители Белгородской, Саратовской, Брянской и Самарской областей — Вячеслав Гладков, Роман Бусаргин, Александр Богомаз и Вячеслав Федорищев.

Впрочем, в большинстве случаев каналы губернаторов в MAX привлекают лишь 5%, максимум 10% аудитории, которую они имеют в Telegram. Такие данные приводит «Полилог». В целом реальный уровень активности пользователей в MAX сопоставим — около 5% от аудитории и трафика Telegram.

«Полилог» также отмечает, что контент в MAX почти всегда дублирует Telegram без заметных отличий в подаче. Исключением можно считать лишь отдельные примеры, когда губернаторы публикуют более личные материалы именно в MAX.

«Пока не удастся сделать MAX общераспространенным и популярным, эти каналы будут носить формальный характер или дублировать контент из Telegram. Таким образом губернаторы решают политическую задачу, но это мало влияет на их реальное взаимодействие с обществом», — прокомментировал ситуацию политолог Ростислав Туровский в беседе с «Ведомостями».

Политолог Константин Колачев добавил, что число подписчиков в Telegram стало предметом неофициального соперничества между губернаторами. По его словам, региональные руководители будут «тянуть до последнего» с переходом на MAX и сохранять активность в Telegram, пока не появятся жесткие установки отказаться от него.

На федеральном уровне процесс миграции в MAX также идет небыстро. У шести из 21 федерального министра нет собственных каналов, а также отсутствуют каналы у главы правительства Михаила Мишустина и всех его заместителей.

Вчера мы писали, что центр безопасности MAX заблокировал 67 тысяч аккаунтов в августе. Чаще всего причиной блокировки становились попытки массовых спам-рассылок. Аккаунты, замеченные в мошенничестве, закрывались навсегда.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru