Οι χρήστες του Linux έχουν ακόμα ένα trojan για να ανησυχούν, και όπως πάντα, οι απατεώνες το χρησιμοποιούν κυρίως για να πάρουν τον έλεγχο συσκευών που τρέχουν Linux λειτουργικό σύστημα και τις χρησιμοποιούν για να εξαπολύσουν DDoS επιθέσεις κατ’ εντολή τους.
Οι ερευνητές ασφάλειας της Dr.Web, εκείνοι που ανακάλυψαν και αυτήν την απειλή, λένε ότι το trojan φαίνεται να μολύνει τα Linux μηχανήματα μέσω της Shellshock ευπάθειας, που ακόμα είναι unpatched για έναν μεγάλο αριθμό συσκευών.
Το trojan, που φέρει το όνομα Linux.DDoS.93, πρώτα απ’ όλα θα τροποποιήσει το /var/run/dhcpclient-eth0.pid αρχείο με τέτοιο τρόπο, ώστε η διαδικασία του να ξεκινά με κάθε εκκίνηση του υπολογιστή. Αν το αρχείο δεν υπάρχει, το trojan θα το δημιουργήσει από μόνο του.
Μόλις το trojan ξεκινήσει μετά την εκκίνηση, λειτουργεί χρησιμοποιώντας δύο διαδικασίες. Η μία χρησιμοποιείται για να μιλήσει με τον C&C εξυπηρετητή, ενώ παράλληλα η δεύτερη εξασφαλίζει η γονική διαδικασία του trojan να βρίσκεται πάντοτε σε λειτουργία.
Όταν ο εισβολέας που έχει τον έλεγχο του botnet του trojan εκδώσει μια εντολή επίθεσης, το trojan εγκαινιάζει 25 διαδικασίες του παιδιού που πραγματοποιούν την DDoS επίθεση.
Επί του παρόντος, το trojan μπορεί να ξεκινήσει UDP floods (σε μια τυχαία θύρα, σε μια συγκεκριμένη θύρα ή πλαστογραφημένες – spoofed- UDP floods), TCP floods (απλά πακέτα ή με τυχαία δεδομένα μέχρι 4096 Β που έχουν προστεθεί σε κάθε πακέτο) και HTTP floods (μέσω POST, GET ή HEAD requests).
Επιπλέον, το trojan μπορεί να ενημερώσει τον εαυτό του, να διαγράψει τον εαυτό του, να τερματίσει τη διαδικασία του, να στείλει ping και να κατεβάσει και να εκτελέσει ένα αρχείο που έλαβε από τον C&C εξυπηρετητή.
Το Linux.DDoS.93 περιλαμβάνει, επίσης, μια λειτουργία που σαρώνει τη μνήμη και τη λίστα των ενεργών διεργασιών του υπολογιστή και κλείνει μόνη του, αν εντοπίσει οποιοδήποτε από τα ακόλουθα strings:
- privmsg
- getlocalip
- kaiten
- brian krebs
- botnet
- bitcoin mine
- litecoin mine
- rootkit
- keylogger
- ddosing
- nulling
- hackforums
- skiddie
- script kiddie
- blackhat
- whitehat
- greyhat
- grayhat
- doxing
- malware
- bootkit
- ransomware
- spyware
- botkiller
Τα περισσότερα strings σχετίζονται με τον τομέα του infosec, οπότε πιθανό να βρίσκονται εκεί για να προλάβουν το reverse engineering από τους ερευνητές ασφαλείας ή για να μολύνουν τον υπολογιστή του malware συγγραφέα.
Κατά τη διάρκεια της διαδικασίας μόλυνσης, το trojan σαρώνει το εκτεθειμένο μηχάνημα και για άλλες εκδόσεις του εαυτού του και τις τερματίζει, εγκαθιστώντας πάντα την πιο νέα εκδοχή.
Αυτό διπλασιάζει τις πιθανότητες, όπως ένα αυτόματο σύστημα ενημέρωσης, με την τελευταία έκδοση του trojan να επιβιώνει πάντα στο μολυσμένο μηχάνημα.
Το Linux έχει αποτελέσει την τελευταία «μόδα», όσον αφορά την ανάπτυξη malware. Τις τελευταίες 30 ημέρες, οι ερευνητές ασφάλειας ανακάλυψαν, ανέλυσαν και έφεραν στο φως άλλα πέντε trojans του εν λόγω λειτουργικού συστήματος, όπως τα Rex, PNScan, Mirai, LuaBot και Linux.BackDoor.Irc.
