LINUX e OPEN SOURCE
Home news Linux e open source Comunicato

Linux vittima del trojan XOR.DDoS con rootkit nascosto

Gli esperti di sicurezza del team di Avast hanno scoperto un nuovo tipo di trojan del tipo DDos che attacca sistemi operativi Linux. Si chiama XOR.DDoS e si presenta con un minaccioso rootkit occulto.
del 15/01/15 -

XOR.DDoS

Questo malware è stato scoperto una prima volta dai membri del portale MalwareMustDie! nel mese di settembre del 2014 ed è considerato l'unico trojan per Linux capace di modificare in modo diverso la struttura dei file in relazione alla piattaforma del sistema operativo.

"L'infezione inizia con il tentativo di forzare in modo diretto il protocollo SSH e le credenziali di accesso dell'utente root. In caso positivo viene aperto l'accesso totale alla macchina con l'installazione del trojan tramite script shell".

Tale script contiene comandi come main, compiler, check, setup, generate, uncompress e via dicendo, accompagnati da variabili come _host_32_, _host_64_, _kernel_,_remote_ ed altre.

Il processo principale decifra e seleziona il Server C&C corretto basato sull'architettura trovata nel computer. Gli attaccanti puntano a sfruttare una delle cattive abitudini degli utenti Linux: usare la stessa login su altri servizi Internet a cui si è esposti mediante SSH. Una volta che XOR.DDoS ha infettato il sistema Linux, il suo complice rootkit nasconde i suoi componenti (file e processi) onde evitare di essere rilevato.

Lo schema del trojan XOR.DDoS

"Inoltre dobbiamo chiarire che esiste una variante di questo trojan, compilato per architetture ARM" si legge nel report di Avast. "Ciò significa che la lista di sistemi potenzialmente vittime (a 32 e 64 bit) comprende anche web server, PC di casa, router, dispositivi IoT, storage NAS e server ARM".

Internet of Things è l'obiettivo

Chi ha sviluppato il malware sta pensando, sempre di più, di attaccare in modo diretto tutti i sistemi Linux che abbiamo in casa e fuori, inclusi i dispositivi che controlliamo tramite lui. Un elemento interessante del menzionato XOR.DDoS è l'implementazione della infrastruttura di controllo e il processo di gestione della rete bot o Botnet.

Gli esperti osservano che la comunicazione tra bot e Server di Controllo (C&C) è cifrata in entrambe le direzioni con la stessa password inclusa su XOR sotto forma di file di configurazione. L'elenco dei C&C viene salvata nello script shell all'interno della variabile _remote_.

Il trojan invia prima le informazioni sul sistema su cui è in funzionamento il Server C&C (probabilmente mostrando un pannello di un operatore remoto del Botnet), poi attende la risposta che arriverà con un altro comando.



Licenza di distribuzione:
INFORMAZIONI SULLA PUBBLICAZIONE
Comunicazione Web
Responsabile account:
 Alessandro Elia (Redattore)
Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente
© Pensi che questo testo violi qualche norma sul copyright, contenga abusi di qualche tipo? Contatta il responsabile o Leggi come procedere
Stampa ID: 242788