Путешествующий в облаках Linux-бот обрел DDoS-функциональность

Татьяна Никитина 12 Ноября 2021 - 17:24

Домашние пользователи

...

По данным китайской ИБ-компании Qihoo 360, авторы объявившегося в июле Linux-зловреда с функциональностью червя постоянно его совершенствуют. В настоящее время Abcbot, как его именуют эксперты, умеет обновлять себя, использовать генератор доменов (DGA) для связи с C2, настраивать веб-сервер и проводить DDoS-атаки.

Первоначально вредонос представлял собой простенький сканер для проведения атак на серверы подбором паролей или через эксплойт уязвимостей. Используемые с этой целью шелл-скрипты подробно разобрали в прошлом месяце эксперты Trend Micro.

На тот момент Abcbot выступал в роли угонщика чужих мощностей, взламывая серверы в облаках для добычи криптовалюты. Эти атаки были примечательны тем, что зловред прибивал при этом штатные процессы, связанные с мониторингом и выявлением проблем безопасности, а также сбрасывал пароли к аккаунтам Elastic Cloud.

Анализ новейшей (шестой по счету) версии Abcbot показал, что он по-прежнему собирает и отсылает на С2-сервер информацию о зараженной системе, а также проводит сканирование портов в поисках других уязвимых Linux-машин. Кроме этого, зловред запускает на зараженном устройстве веб-сервер и ожидает команд (порт 26800) на проведение DDoS-атак.

Первоначальный вариант реализации DDoS-функциональности в Abcbot был многоступенчатым: бот каждый раз загружал с удаленного сервера исходный код руткита ATK, модифицировал его и перенаправлял полученную команду этому модулю.

В конце прошлого месяца зловред обрел собственный, кастомный компонент для проведения DDoS-атак, который поддерживает следующие техники:

tls Attack
tcp Attack
udp Attack
ace Attack
hulk Attack
httpGet Attack
goldenEye Attack
slowloris Attack
bandwidthDrain Attack

Размеры ботнета, созданного на основе Abcbot, пока невелики. По данным Qihoo 360, в настоящее время он охватывает 260 хостов (IP-адресов).

Следующая главная новость »

Информационные технологии 2025. Подводим итоги года на эфире AM Live.
Присоединяйтесь! »

Екатерина Быстрова 24 Декабря 2025 - 21:16

Linux Домашние пользователи

Linux вдохнул новую жизнь в видеокарты AMD 2011–2013 годов

Старые видеокарты AMD получили неожиданно хорошие новости из мира Linux. В ближайшей версии ядра Linux 6.19, выход которой ожидается в феврале 2026 года, появится полноценная поддержка графических процессоров на архитектурах GCN 1.0 и 1.1 — тех самых, что дебютировали ещё в 2011–2013 годах.

Речь идёт о поколениях Southern Islands и Sea Islands, знакомых по таким моделям, как Radeon HD 7970, HD 7950, а также Radeon R9 290 и 290X.

До сих пор владельцы этих видеокарт были вынуждены мириться с ограничениями: современный драйверный стек AMDGPU официально поддерживал только GCN 1.2 и более новые архитектуры. Старые GPU оставались за бортом всех свежих оптимизаций.

Ситуацию удалось изменить благодаря работе Тимура Кристофа и команды Valve, которая активно участвует в развитии графического стека для Linux. В результате для GCN 1.0 и 1.1 подготовили новые открытые драйверы, которые теперь планируется включить в основную ветку ядра.

И это не просто «поддержка для галочки». По тестам Phoronix, перевод Radeon HD 7950 на новый драйверный стек даёт прирост производительности до 30%. Особенно заметен эффект в старых OpenGL-играх, где оптимизации оказываются наиболее эффективными.

Одна из ключевых причин такого прироста — полноценная поддержка Vulkan-драйвера RADV из Mesa. Ранее владельцы старых карт были фактически лишены преимуществ современного графического стека, а теперь получают более быстрый и стабильный рендеринг.

Разумеется, ждать чудес не стоит: видеокарты 12–14-летней давности не станут внезапно пригодными для современных AAA-проектов. Но для повседневной работы, старых игр и просто более плавного интерфейса улучшения будут вполне ощутимыми.

Информационные технологии 2025. Подводим итоги года на эфире AM Live.
Присоединяйтесь! »