13 aprile 2016

La comparsa di nuovi trojan-backdoor capaci di eseguire comandi dei malintenzionati e fornire loro la possibilità di controllare su remoto il computer infetto è sempre un evento significativo nella sfera della sicurezza informatica. Specialmente se questi programmi malevoli sono progettati per i sistemi operativi della famiglia Linux. Ad aprile gli analisti dei virus Doctor Web hanno scoperto diversi tali trojan alla volta, a cui sono stati attribuiti i nomi Linux.BackDoor.Xudp.1, Linux.BackDoor.Xudp.2 e Linux.BackDoor.Xudp.3.

Primo anello della catena di infezione è un file ELF, che Antivirus Dr.Web conosce come Linux.Downloader.77. Originalmente quest'applicazione è studiata per effettuare attacchi a nodi remoti tramite l'invio di massa di pacchetti UDP su un indirizzo impostato. Linux.Downloader.77 è una versione modificata del programma sopracitato, in cui è stato incluso un trojan. La potenziale vittima scarica e lancia sul computer questa utility che ad avvio chiede all'utente di concederle i privilegi di root, altrimenti non sarà operativa. È da notarsi che tali programmi "flooder" spesso realizzano ulteriori funzioni nascoste – per esempio possono scaricare da Internet altri software pericolosi. A questo riguardo non fa eccezione neanche Linux.Downloader.77.

Se Linux.Downloader.77 ottiene i privilegi di root, scarica dal server dei malintenzionati ed esegue un altro script – Linux.Downloader.116. Questo script scarica il modulo principale del backdoor Linux.BackDoor.Xudp.1, lo salva con il nome /lib/.socket1 o /lib/.loves, memorizza uno script di avvio automatico nella directory /etc/ con il nome rc.local e configura il task di avvio automatico del trojan in cron. Inoltre, nel corso dell'installazione il malware cancella i contenuti iptables.

Dopo l'avvio Linux.BackDoor.Xudp.1 decifra dati di configurazione necessari per il suo funzionamento, conservati nel suo corpo, e invia sul server le informazioni sul computer infettato. In seguito avvia tre flussi indipendenti. Nel primo flusso il backdoor utilizza il protocollo HTTP. Il malware informa il server di gestione che il trojan è in esecuzione, ottiene una chiave di crittografia per la cifratura di messaggi, scopre il server su cui deve inviare richieste e il relativo numero di porta. Successivamente Linux.BackDoor.Xudp.1, con una determinata periodicità, invia su questo server richieste a cui il server può rispondere con un comando. Presumibilmente, questo meccanismo può essere utilizzato per l'aggiornamento automatico del programma malevolo. Tutti i comandi in arrivo sono criptati, e il trojan li decifra tramite la chiave da esso generata.

Nel secondo flusso Linux.BackDoor.Xudp.1 anche attende comandi in arrivo da server, ma in questo caso attraverso il protocollo UDP. Nel terzo flusso il trojan, con un intervallo di tempo impostato, invia sul server di gestione un determinato datagramma per notificare che è ancora in funzione.

Tra i comandi che Linux.BackDoor.Xudp.1 può eseguire, i ricercatori hanno identificato i seguenti: inviare continuamente varie richieste (flood) su un nodo remoto impostato, effettuare attacchi DDoS, eseguire qualsiasi comando sul dispositivo infetto. Inoltre, a comando Linux.BackDoor.Xudp.1 può scansionare porte in un intervallo di indirizzi IP impostato, può eseguire file indicati dai malfattori, inviare loro un file e fare altre attività. Gli analisti dei virus Doctor Web ritengono che questo trojan sia in fase di sviluppo attivo — stanno apparendo sempre nuove versioni del programma.

Linux.BackDoor.Xudp.2 e Linux.BackDoor.Xudp.3 sono versioni aggiornate di Linux.BackDoor.Xudp.1 da cui differiscono soltanto per alcuni dettagli — per esempio il nome con cui il programma malevolo viene salvato nel sistema, la quantità di informazioni sulla macchina infetta che il malware invia sul server di controllo o il set di comandi che può eseguire. Tutti questi programmi malevoli vengono rilevati da Antivirus Dr.Web per Linux e quindi non rappresentano alcun pericolo ai nostri utenti.