24 settembre 2015

I trojan per i sistemi operativi della famiglia Linux non sono tanto comuni quanto i programmi malevoli per gli altri sistemi operativi, però di volta in volta gli analisti dei virus Doctor Web devono affrontare qualche nuovo membro di questa categoria. Uno di essi è il trojan Linux.Ellipsis.1 che è caratterizzato da un comportamento paranoico sul computer infetto.

Il Linux.Ellipsis.1 è stato sviluppato dai malfattori con lo scopo di creare un server proxy su un computer attaccato, ma questo campione è comunque diverso dagli altri programmi malevoli per Linux per il suo comportamento molto particolare che gli specialisti Doctor Web hanno chiamato "paranoico". Al momento è noto che i criminali informatici utilizzano un server proxy per garantire la loro anonimia quando accedono ai dispositivi hackerati attraverso un altro programma malevolo — Linux.Ellipsis.2. In generale, lo schema impiegato dai criminali informatici per un attacco è come segue: tramite il trojan Linux.Ellipsis.2 loro ottengono un accesso non autorizzato attraverso il protocollo SSH a un dispositivo di rete o computer e quindi utilizzano quest'accesso a una varietà di scopi illegali restando anonimi grazie al Linux.Ellipsis.1.

Tuttavia, andiamo con ordine.

Dopo l'avvio su un computer infetto, il Linux.Ellipsis.1 elimina la sua directory di lavoro e cancella la lista delle regole per iptables e poi cerca di terminare una serie di applicativi in esecuzione, in primo luogo programmi per la registrazione e visualizzazione di log, nonché quelli per l'analisi di traffico. In seguito il trojan elimina le directory esistenti e i file dei registri di sistema e crea al loro posto directory con i nomi corrispondenti. In questo modo viene impedita la possibilità di creare log con tali nomi in futuro.

In una fase successiva il trojan Linux.Ellipsis.1 modifica il file di configurazione "/etc/coyote/coyote.conf" in modo che includa la stringa: alias passwd=cat\n. Quindi elimina una serie delle utility di sistema dalle directory /bin/, /sbin/, /usr/bin/, aggiunge l'attributo "immutabile" ad alcuni file necessari per il suo successivo funzionamento e blocca gli indirizzi IP di sottoreti, indicati in un comando trasmesso al trojan o elencati nel suo file di configurazione. Dicendo "blocca", vogliamo dire che impedisce la ricezione o la trasmissione di pacchetti di informazioni da/su un determinato indirizzo IP su una porta impostata o protocollo tramite la creazione delle relative regole iptables.

Come abbiamo menzionato prima, lo scopo principale del Linux.Ellipsis.1 consiste nel creare un server proxy sul computer infetto. Per questo scopo, il trojan controlla le connessioni su un indirizzo locale e su una porta impostata, processando da un proxy tutto il traffico trasmesso attraverso questo indirizzo e questa porta.

Il programma malevolo Linux.Ellipsis.1 è caratterizzato da un comportamento molto insolito: il trojan ha una vasta lista di stringhe particolari e se ne scopre alcune nel traffico di rete, blocca la comunicazione con il rispettivo server remoto per indirizzo IP. Anche la lista delle parole proibite include una parte variabile che dipende dai contenuti di un pacchetto in arrivo. Per esempio, se un pacchetto di dati in arrivo sulla macchina infetta contiene la stringa "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)", alla lista vengono aggiunti i valori "eapmygev." e "ascuviej.". Inoltre, nel suo funzionamento il Linux.Ellipsis.1 utilizza una lista delle parole sospette e di quelle da essere ignorate.

IlLinux.Ellipsis.1 ha un comportamento "paranoico" anche perché oltre al bloccare nodi remoti per indirizzo sulla base di una lista predefinita, il trojan controlla tutte le connessioni di rete del computer e manda sul server di gestione l'indirizzo IP del nodo con cui è stata stabilita una connessione. Se il server risponde con un comando "kill", il trojan termina l'applicazione che ha stabilito la connessione e inoltre blocca questo indirizzo IP tramite iptables. Nella sua directory home il Linux.Ellipsis.1 crea un file con il nome "ip.filtered" in cui la parte "ip" viene sostituita con la rappresentazione di stringa dell'indirizzo IP bloccato. Allo stesso modo vengono verificati i processi che hanno la stringa "sshd" nei loro nomi. Gli indirizzi IP dalle liste vengono bloccati per sempre, mentre tutti gli altri — per 2 ore: un processo separato del trojan una volta ogni mezzora controlla i contenuti della propria directory home e ci cerca i file creati più di due ore fa di cui i nomi iniziano con un indirizzo IP dopodiché elimina i file e la rispettiva regola nella tabella di iptables.

Poco tempo dopo che era stato scoperto il programma malevolo descritto sopra, gli specialisti Doctor Web hanno rilevato il trojan Linux.Ellipsis.2, che a quanto pare da una serie delle caratteristiche distintive è una creazione dello stesso autore che ha creato il programma sopracitato e ha l'obiettivo di indovinare password con il metodo di forza bruta. Allo stesso modo del Linux.Ellipsis.1, questo trojan durante il suo funzionamento cancella la lista delle regole per iptables ed elimina le applicazioni che lo "disturbano", crea directory che impediscono la possibilità della registrazione di log da parte del sistema operativo, e per ricevere un obiettivo comunica con un server di gestione di cui l'indirizzo il trojan accetta come un argomento di input ad avvio. Il Linux.Ellipsis.2 calcola automaticamente il numero di flussi di scansione e di connessioni ssh sulla base delle informazioni sulla frequenza del processore della macchina infetta.

Il task che il trojan riceve dal server di controllo contiene l'indirizzo IP di una sottorete che il programma malevolo scansiona alla ricerca dei dispositivi con una connessione SSH aperta sulla porta 22. Se trova tali dispositivi, il trojan cerca di accedere ad essi selezionando coppie login-password sulla base di un dizionario disponibile, e se trova quella giusta, informa a proposito il server dei malintenzionati.

Le firme antivirali dei programmi malevoli sopraelencati sono state aggiunte ai database dei virus e dunque non rappresentano pericolo per gli utenti dell'Antivirus Dr.Web.