Доктор Веб обнаружил новый бэкдор для Mac

Доктор Веб обнаружил новый бэкдор для Mac

Специалисты компании «Доктор Веб» обнаружили и исследовали троянца для операционной системы Apple macOS, способного выполнять поступающие от злоумышленников команды.

Троянец-бэкдор был добавлен в вирусные базы Dr.Web под именем Mac.BackDoor.Systemd.1. В момент старта он выводит в консоль сообщение с опечаткой «This file is corrupted and connot be opened» и перезапускает себя в качестве демона с именем systemd. При этом Mac.BackDoor.Systemd.1 пытается скрыть собственный файл, установив для него соответствующие флаги. Затем троянец регистрирует себя в автозагрузке, для чего создает файл с командами sh и файл .plist.

Зашифрованная конфигурационная информация хранится в самом файле троянца. В зависимости от нее Mac.BackDoor.Systemd.1 либо сам устанавливает связь с управляющим сервером, либо ожидает входящего запроса на соединение. После установки связи бэкдор выполняет поступающие команды и периодически отсылает злоумышленникам следующую информацию:

  • наименование и версия операционной системы;
  • имя пользователя;
  • наличие у пользователя привилегии администратора (root);
  • MAC-адреса всех доступных сетевых интерфейсов;
  • IP-адреса всех доступных сетевых интерфейсов;
  • внешний IP-адрес;
  • тип процессора;
  • объем оперативной памяти;
  • данные о версии вредоносной программы и ее конфигурации.

Троянец имеет собственный файловый менеджер, с использованием которого киберпреступники могут выполнять различные действия с файлами и папками на зараженном компьютере. Бэкдор способен выполнять следующие команды:

  • получить список содержимого заданной директории;
  • прочитать файл;
  • записать в файл;
  • получить содержимое файла;
  • удалить файл или папку;
  • переименовать файл или папку
  • изменить права для файла или папки (команда chmod);
  • изменить владельца файлового объекта (команда chown);
  • создать папку;
  • выполнить команду в оболочке bash;
  • обновить троянца;
  • переустановить троянца;
  • сменить IP-адрес управляющего сервера;
  • установить плагин.
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Три DoS-уязвимости затрагивают ядра Linux и FreeBSD

Джонатан Луни, эксперт в области безопасности из Netflix, обнаружил несколько уязвимостей в системах FreeBSD и Linux. В случае успешной эксплуатации эти бреши могут привести к DoS.

Всего проблем безопасности три, две из которых затрагивают параметр протокола TCP MSS (Maximum segment size) и TCP Selective Acknowledgement (SACK), а еще одна — только MSS.

Самая опасная из этих уязвимостей отслеживается под именем SACK Panic. Используя ее, атакующий может инициировать DoS и перезагрузить уязвимую систему. Эта проблема безопасности актуальна для последних версий ядра Linux.

«Эксперт Netflix обнаружил несколько уязвимостей в ядрах FreeBSD и Linux. Самая опасная из дыр — SACK Panic — может привести к удаленному выведению из строя последних версий ядра Linux», — говорится в отчете Луни.

SACK Panic также известна под идентификатором CVE-2019-11477, она получила 7,5 баллов по шкале CVSS3.

Уязвимые к SACK Panic версии ядра Linux начинаются с 2.6.29. Для устранения этой проблемы потребуется установить два патча: PATCH_net_1_4.patch и PATCH_net_1a.patch.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru