Virtual-IT.pl - wirtualizacja cloud computing storage SDx data center

#VeeamON2017 - Rozszerzenie platformy Veeam Availability
#VeeamON2017 - Rozszerzenie platformy Veeam Availability

Firma Veeam Software, w trakcie konferencji VeeamON 2017, poinformowała o rozszerzeniu platformy Veeam ‘Always-On Cloud’ Availability Platform o nowy framework Universal Storage API oraz rozszerzenie ekosystemu partnerów strategicznych.

Czytaj więcej...

Bezpieczeństwo IT - w chmurze czy lokalnie?
Bezpieczeństwo IT - w chmurze czy lokalnie?

Jak wskazuje Gartner jednym z głównych trendów w gospodarce światowej jest dziś Cloud Shift, czyli coraz silniejszy nacisk na wykorzystanie chmury obliczeniowej. Analitycy tej firmy twierdzą, że do 2020 roku niewykorzystywanie chmury będzie w przedsiębiorstwach zjawiskiem tak rzadkim, jak obecnie brak dos...

Czytaj więcej...

Czy ufamy chmurze? - Raport Intel Security
Czy ufamy chmurze? - Raport Intel Security

Tylko jedna trzecia (34%) osób przebadanych w ramach nowego projektu Intel Security uznała, że członkowie najwyższego kierownictwa w ich organizacjach w pełni rozumieją kwestie bezpieczeństwa chmury obliczeniowej. Kompletne wyniki ankiety wskazują na ogromną, wręcz krytyczną potrzebę zwiększania poziomu zaufania do ...

Czytaj więcej...

15 najlepiej płatnych certyfikacji w 2016 roku
15 najlepiej płatnych certyfikacji w 2016 roku

Certyfikacja wśród specjalistów z branży IT jest elementem często pożądanym przez pracodawców. By aktywnie uczestniczyć w rynku pracy, należy stale podnosić swoje kwalifikacje. Odpowiednie certyfikaty idąc w parze z posiadanymi i rozwijanymi umiejętnościami oraz determinacja związana ze zdobywaniem wiedzy, niejednok...

Czytaj więcej...

Altaro VM Backup 7.5 z backupem do chmury Azure
Altaro VM Backup 7.5 z backupem do chmury Azure

Firma Altaro zaktualizowała swoje flagowe rozwiązanie - Altaro VM Backup - przeznaczone do tworzenia kopii zapasowych maszyn wirtualnych działających pod kontrolą hypervisorów Microsoft Hyper-V oraz VMware vSphere/ESXi. W nowej wersji Altaro VM Backup v7.5 wprowadzono wsparcie dla składowania kopii zapasowych w ...

Czytaj więcej...

Raport Veeam: ciągłość działania usług IT poważnym wyzwaniem dla polskich firm
Raport Veeam: ciągłość działania usług IT poważnym wyzwaniem dla polskich firm

Badanie firmy Veeam Software, innowacyjnego dostawcy rozwiązań, które zapewniają stałą dostępność na potrzeby przedsiębiorstw działających non stop (Availability for the Always-On Enterprise), pokazuje, że ponad połowa organizacji w Polsce zmaga się z przystosowaniem firmowej infrastruktury do wymogów now...

Czytaj więcej...

Aktualności

Nowy backdoor dla Linux o szerokim spektrum działań

Linux BackdoorAnalitycy bezpieczeństwa firmy antywirusowej Doctor Web przebadali złożony, wielozadaniowy backdoor dla Linuksa - Linux.BackDoor.Xnote.1 - mogący wykonywać liczne polecenia cyberprzestępców, na przykład przeprowadzać ataki DDoS, jak również wykonywać szeroki zakres innych złośliwych zadań. Aby rozprzestrzenić backdoor'a dla systemów z rodziny Linux, przestępcy przeprowadzają atak „brute force”, aby nawiązać połączenie SSH z docelową maszyną.


Kiedy Linux.BackDoor.Xnote.1 dostanie się do maszyny, sprawdza czy jego kopia działa już w zainfekowanym systemie. Jeśli tak, to backdoor przerywa swoją instalację. Złośliwy program zostanie zainstalowany w systemie wówczas, gdy został uruchomiony z uprawnieniami głównego administratora (root). Podczas instalacji, złośliwy program tworzy swoją kopię w katalogu /bin/ w formie pliku o nazwie iptable6. Następnie usuwa oryginalny plik, który został wykorzystany do uruchomienia wirusa.

Linux.BackDoor.Xnote.1 wyszukuje także w katalogu /etc/init.d/ skrypt, który zaczyna się linią "#!/bin/bash" i dodaje do niej kolejną linię, tak aby backdoor mógł być uruchomiony automatycznie.

Program wykorzystuje następującą procedurę do wymiany danych z serwerem zarządzającym przestępców. Aby uzyskać dane konfiguracyjne, backdoor szuka specjalnego wpisu w swoim kodzie - wpis wskazuje na początek zaszyfrowanego bloku konfiguracyjnego, a następnie odszyfrowuje go i zaczyna wysyłać zapytania do serwerów zarządzających z posiadanej listy, do momentu, aż znajdzie serwer odpowiadający na zapytanie, albo aż lista się skończy. Zarówno backdoor jak i serwer wykorzystują bibliotekę zlib do kompresowania pakietów, które wymieniają między sobą. Najpierw Linux.BackDoor.Xnote.1 wysyła informacje o zainfekowanym systemie do serwera. Przechodzi on wtedy w stan gotowości i czeka na dalsze instrukcje. Jeżeli polecenie obejmuje przeprowadzenie jakiegoś zadania, backdoor tworzy oddzielny proces, który nawiązuje własne połączenie z serwerem, dzięki czemu pozyskuje wszystkie niezbędne dane konfiguracyjne i wysyła wyniki wykonanego zadania.

Stąd, w momencie otrzymania polecenia, Linux.BackDoor.Xnote.1 może przypisać unikalne ID do zainfekowanej maszyny, rozpocząć atak DDoS na zdalnym hoście z określonym adresem (może przeprowadzać ataki SYN Flood, UDP Flood, HTTP Flood oraz NTP Amplification), zatrzymać atak, zaktualizować swój plik wykonywalny, wpisać dane do pliku, lub usunąć się z systemu. Backdoor potrafi także wykonywać wiele działań na plikach. Otrzymując odpowiednie polecenie, Linux.BackDoor.Xnote.1 wysyła informacje o systemie plików zainfekowanego komputera (całkowitej liczbie bloków danych w systemie plików oraz liczbie wolnych bloków) do serwera i czeka na inne polecenia, które mogą obejmować:
- Wylistowanie plików i katalogów wewnątrz określonego katalogu
- Wysyłanie danych o rozmiarach katalogów do serwera
- Tworzenie pliku, w którym mogą być gromadzone otrzymane dane
- Wysyłanie pliku do serwera zarządzającego (C&C)
- Przyjęcie pliku
- Zmianę nazwy pliku
- Uruchamianie pliku
- Usuwanie pliku
- Tworzenie katalogu
- Usuwanie katalogu
- Sygnalizowanie serwerowi gotowości przyjęcia pliku

Poza tym, backdoor potrafi uruchomić proces powłoki (shell) z określonymi zmiennymi środowiskowymi i udzielić serwerowi C&C dostępu do tej powłoki, uruchomić proxy typu SOCKS na zainfekowanym komputerze, lub uruchomić swoją własną implementację na serwerze portmap.

Analitycy bezpieczeństwa Doctor Web przypuszczają, że za szkodliwym oprogramowaniem stoi chińska grupa hakerów ChinaZ. Sygnatura tego złośliwego programu została dodana do bazy wirusów Dr.Web, dlatego systemy chronione Antywirusem Dr.Web dla Linuxa nie są narażone na działanie nowego backdoora.

Źródło: Doctor Web