Новый Linux-бэкдор приходит через дыру в Log4J и прокладывает DNS-туннель

Татьяна Никитина 16 Марта 2022 - 14:47

Домашние пользователи

...

В начале февраля в сетевую ловушку Qihoo 360 попал вредоносный ELF-файл, который система опознала как незнакомца. Анализ нового семпла показал, что это бот с функциями бэкдора, способный также открывать SOCKS5-прокси и устанавливать руткит.

Новобранец, которого эксперты нарекли B1txor20, распространяется через эксплойт Log4Shell (CVE-2021-44228) и примечателен тем, что для маскировки коммуникаций с C2 использует DNS-туннелирование. Наличие большого количества неиспользуемых функций, а также багов в реализации некоторых механизмов позволило аналитикам заключить, что данный Linux-бот находится в стадии активной разработки.

Троян нацелен в основном на устройства с CPU-архитектурой ARM или х86 64-бит. На настоящий момент обнаружено четыре образца B1txor20 с почти одинаковым набором функций. Из основных исследователи назвали следующие:

создание сокета для обеспечения шелл-доступа;
создание и запуск прокси-сервиса;
выполнение произвольных системных команд (поддерживаются полтора десятка);
установка руткита;
загрузка информации о системе на удаленный сервер.

В зараженной системе зловред выдает себя за процесс netns. При исполнении он генерирует свой ID и расшифровывает (XOR) доменное имя для связи с C2 через DNS-туннель (webserv.systems, зарегистрировано на шесть лет), а также секретный ключ RC4 для шифрования трафика.

После этого B1txor20 проверяет доступность DNS-сервера и по результатам теста выбирает вариант связи (прямой или релейный) для регистрации на C2-сервере и приема команд. Для защиты своего трафика вредонос использует не только RC4-шифрование, но также сжатие данных с помощью ZLIB и кодирование по base64.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 20 Июня 2025 - 18:13

BI.ZONE TDR Малый и средний бизнес Корпорации Системы управления доступом (IdM/IAM)Выявление угроз для учётных данных и реагирование на них (ITDR) BI.ZONE

BI.ZONE предложила возврат денег за мониторинг при пропущенном инциденте

С августа 2025 года компания BI.ZОNE вводит новые условия для клиентов своего сервиса мониторинга и реагирования на киберинциденты (TDR). Если специалисты компании не успеют зафиксировать инцидент до того, как он причинит реальный ущерб, клиент сможет потребовать возврат стоимости услуги за соответствующий период.

Об этом представители BI.ZONE сообщили на Петербургском международном экономическом форуме (ПМЭФ-2025).

Возврат будет возможен, если инцидент повлёк за собой конкретные последствия: например, утечку данных, остановку бизнес-процессов или шифрование информации. При этом у компании-клиента должно быть выполнено несколько условий:

инцидент должен попасть в зону покрытия мониторинга;
заказчик предоставил всю необходимую информацию об инфраструктуре;
защита осуществлялась с использованием решения BI.ZONE EDR;
клиент следовал рекомендациям по реагированию;
инфраструктура не была взломана до подключения к сервису.

На рынке давно обсуждается необходимость такой ответственности со стороны провайдеров — и, по данным опроса издания «АМ Медиа», каждая пятая компания ждёт от подрядчика по ИБ финансовых гарантий в случае пропуска инцидента.

BI.ZONE — одна из первых российских компаний, которые формализовали подобные условия публично.