Новости Целью ботнета FreakOut стали системы Linux с неустановленными патчами

Тема в разделе "Новости", создана пользователем Mr. Pickles, 24 янв 2021.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    858
    Симпатии:
    236
    1.jpg

    Как утверждают исследователи, вредоносная сеть может использоваться для проведения DdoS атак.

    О том, как ботнет FreakOut заражает системы Linux (источник: Check Point Research)

    Исследователями из компании Check Point Research был отслежен новый ботнет, целью которого стали уязвимости, имеющиеся в операционных системах Linux.

    Как утверждают исследователи, в результате атаки ботнета создаётся IRC-ботнет — группа машин, заражённых вредоносным дистанционно управляемым программным обеспечением (ПО). После этого его такой ботнет можно использовать для совершения всевозможных зловредных действий, например, для проведения DdoS-атак или майнинга криптовалюты (см. Целью ботнета для майнинга Monero стали серверы PostgreSQL).

    Ботнет FreakOut заражает системы на базе Linux, включая операционную систему (ОС) TerraMaster, управляющую серверами хранения данных, подсоединёнными к сети TerraMaster, фреймворк Zend, разработанный для создания веб-приложений, использующих PHP, а также Liferay Portal, сетевую платформу, позволяющую пользователям создавать порталы и веб-сайты.

    Со слов исследователей, каждая из этих открытых систем имеет уязвимость, которую и пытается использовать FreakOut. В случае с ОС TerraMaster это дистанционно выполняемый код CVE-2020-28188. Во фреймворке Zend это баг десериализации CVE-2021-3007, а багом десериализации Liferay Portal является CVE-2020-7961.

    Исследователи предупреждают пользователей о необходимости устранения этих уязвимостей, чтобы их устройства не пополнили ряды армии ботнета.

    Команда Check Point отмечает, что жертвами серверов управления и контроля, связанных с ботнетом FreakOut, активность которого наблюдается с ноября 2020 года, стали несколько сотен уязвимых устройств, на которых установлена система Linux, и которые в основном находятся в Северной Америке и Западной Европе.

    Как говорят исследователи, операторами ботнета было проведено массовое сканирование, целью которого являлись уязвимые устройства, работающие под Linux,

    Как работает FreakOut

    В отчёте Check Point отмечается, что как только вредоносное ПО FreakOut находит и задействует уязвимость, оно загружает скрипт Python, который создает канал между взломанной системой и сервером управления и контроля.

    После заражения системы ботнет может делать следующее:
    • сканировать порты;
    • собирать информацию об устройстве, включая MAC-адрес и информацию из памяти;
    • создавать и отправлять пакеты, которые могут быть использованы для проведения MITM-атак («атак посредников»);
    • проводить атаки методом перебора, заражая другие устройства в сети;
    • обеспечивать непрерывность своей работы путём добавления себя в конфигурацию rc.local;
    • прерывать процессы по имени или ID;
    • упаковывать и распаковывать код, используя технологии обфускации, присваивая случайные имена функциям и переменным.
    Как сказано в отчёте, эти функции позволяют ботнету проводить DDoS-атаки или устанавливать вредоносное ПО для майнинга криптовалюты.

    Со слов исследователей Check Point, они использовали социальные сети и GitHub, чтобы отследить FreakOut вплоть до его теневого оператора под ником Freak. Исследователи также обнаружили, что в основе кода нового ботнета лежит другой ботнет под названием N3Cr0m0rPh, который можно было купить или арендовать на теневых форумах, начиная с 2015 года.

    Ботнеты Linux

    За последние несколько месяцев исследователями был отслежен целый ряд новых ботнетов, целью которых являются системы Linux.

    В декабре 2020 года Palo Alto Networks Unit 42 был опубликован отчёт по ботнету PGMiner, который заражал уязвимые серверы баз данных Postgre SQL с целью незаконного майнинга Monero (см. Целью ботнета для майнинга Monero стали серверы баз данных Postgre SQL).

    В ноябре 2020 года аналитиками Intezer Labs было обнаружено, что последняя версия ботнета Stantinko, целью которой так же являлись системы Linux, предназначена для сокрытия вредоносных программ под видом сервера Apache, что помогало ей избегать обнаружения инструментами обеспечения безопасности (см. Ботнет для Linux скрывается под видом сервера Apache).

    ---

    Источник: 'FreakOut' Botnet Targets Unpatched Linux Systems

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.