Virtual-IT.pl - wirtualizacja cloud computing storage data center

Altaro VM Backup dla dostawców usług IT!
Altaro VM Backup dla dostawców usług IT!

Altaro Software, dostawca rozwiązań do tworzenia kopii zapasowych, znany głównie ze swojego flagowego produktu VM Backup, pozwalającego na tworzenie kopii zapasowych maszyn wirtualnych działających w środowisku Microsoft Hyper-V i VMware vSphere, udostępnił portal online, zbudowany specjalnie z myślą o dostawcach us...

Czytaj więcej...

Równoważenie obciążenia jako kluczowy element architektury chmurowej
Równoważenie obciążenia jako kluczowy element architektury chmurowej

Równoważenie obciążenia odnosi się do technologii, która jest wykorzystywana do rozdzielania obciążeń roboczych pomiędzy kilkoma komputerami, klastrami, procesorami, pamięcią RAM, dyskami twardymi, jak również innymi elementami infrastruktury w celu optymalizacji wykorzystania zasobów, co przekłada się na zmniejszen...

Czytaj więcej...

Altaro VM Backup 6 dla Hyper-V i VMware - przegląd i instalacja (cz. 1)
Altaro VM Backup 6 dla Hyper-V i VMware - przegląd i instalacja (cz. 1)

Wraz z rozwojem technologii wirtualizacji i wynikającymi z tego zmianami krajobrazu środowisk IT, zmienia się podejście do ochrony danych. Z wirtualizacją przegrało wiele rozwiązań zaprojektowanych z myślą o środowiskach fizycznych. Na rynku pojawiły się nowe rozwiązania, opracowane z myślą o środowiskach wirtualnyc...

Czytaj więcej...

Czy ufamy chmurze? - Raport Intel Security
Czy ufamy chmurze? - Raport Intel Security

Tylko jedna trzecia (34%) osób przebadanych w ramach nowego projektu Intel Security uznała, że członkowie najwyższego kierownictwa w ich organizacjach w pełni rozumieją kwestie bezpieczeństwa chmury obliczeniowej. Kompletne wyniki ankiety wskazują na ogromną, wręcz krytyczną potrzebę zwiększania poziomu zaufania do ...

Czytaj więcej...

Prognozy Veeam na 2017 rok: chmura kluczowa dla rozwoju biznesu
Prognozy Veeam na 2017 rok: chmura kluczowa dla rozwoju biznesu

Mijający rok dobitnie wskazuje, jak ważna jest stała dostępność - zarówno usług, jak i danych. Wystarczy wspomnieć głośne fiasko elektronicznego spisu powszechnego na kontynencie australijskim, czy równie dotkliwe w skutkach przestoje systemów IT w sektorze transportu pasażerskiego. Awarie te sprawiły, że ludzie na ...

Czytaj więcej...

Microsoft PowerShell z otwartym kodem dla Linuksa i OS X
Microsoft PowerShell z otwartym kodem dla Linuksa i OS X

Po otwarciu źródeł .Net, wydaniu otwartego Visual Studio Code, udostępnieniu silnika Chakra Javascript, zapowiedzi wydania SQL Server dla systemów Linux i szerokiemu wsparciu maszyn wirtualnych z linuksami przez hypervisor Hyper-V i chmurę Azure, gigant z Redmond zrobił kolejny krok w stronę świata open source. Micr...

Czytaj więcej...

Aktualności

Nowy backdoor dla Linux o szerokim spektrum działań

Linux BackdoorAnalitycy bezpieczeństwa firmy antywirusowej Doctor Web przebadali złożony, wielozadaniowy backdoor dla Linuksa - Linux.BackDoor.Xnote.1 - mogący wykonywać liczne polecenia cyberprzestępców, na przykład przeprowadzać ataki DDoS, jak również wykonywać szeroki zakres innych złośliwych zadań. Aby rozprzestrzenić backdoor'a dla systemów z rodziny Linux, przestępcy przeprowadzają atak „brute force”, aby nawiązać połączenie SSH z docelową maszyną.


Kiedy Linux.BackDoor.Xnote.1 dostanie się do maszyny, sprawdza czy jego kopia działa już w zainfekowanym systemie. Jeśli tak, to backdoor przerywa swoją instalację. Złośliwy program zostanie zainstalowany w systemie wówczas, gdy został uruchomiony z uprawnieniami głównego administratora (root). Podczas instalacji, złośliwy program tworzy swoją kopię w katalogu /bin/ w formie pliku o nazwie iptable6. Następnie usuwa oryginalny plik, który został wykorzystany do uruchomienia wirusa.

Linux.BackDoor.Xnote.1 wyszukuje także w katalogu /etc/init.d/ skrypt, który zaczyna się linią "#!/bin/bash" i dodaje do niej kolejną linię, tak aby backdoor mógł być uruchomiony automatycznie.

Program wykorzystuje następującą procedurę do wymiany danych z serwerem zarządzającym przestępców. Aby uzyskać dane konfiguracyjne, backdoor szuka specjalnego wpisu w swoim kodzie - wpis wskazuje na początek zaszyfrowanego bloku konfiguracyjnego, a następnie odszyfrowuje go i zaczyna wysyłać zapytania do serwerów zarządzających z posiadanej listy, do momentu, aż znajdzie serwer odpowiadający na zapytanie, albo aż lista się skończy. Zarówno backdoor jak i serwer wykorzystują bibliotekę zlib do kompresowania pakietów, które wymieniają między sobą. Najpierw Linux.BackDoor.Xnote.1 wysyła informacje o zainfekowanym systemie do serwera. Przechodzi on wtedy w stan gotowości i czeka na dalsze instrukcje. Jeżeli polecenie obejmuje przeprowadzenie jakiegoś zadania, backdoor tworzy oddzielny proces, który nawiązuje własne połączenie z serwerem, dzięki czemu pozyskuje wszystkie niezbędne dane konfiguracyjne i wysyła wyniki wykonanego zadania.

Stąd, w momencie otrzymania polecenia, Linux.BackDoor.Xnote.1 może przypisać unikalne ID do zainfekowanej maszyny, rozpocząć atak DDoS na zdalnym hoście z określonym adresem (może przeprowadzać ataki SYN Flood, UDP Flood, HTTP Flood oraz NTP Amplification), zatrzymać atak, zaktualizować swój plik wykonywalny, wpisać dane do pliku, lub usunąć się z systemu. Backdoor potrafi także wykonywać wiele działań na plikach. Otrzymując odpowiednie polecenie, Linux.BackDoor.Xnote.1 wysyła informacje o systemie plików zainfekowanego komputera (całkowitej liczbie bloków danych w systemie plików oraz liczbie wolnych bloków) do serwera i czeka na inne polecenia, które mogą obejmować:
- Wylistowanie plików i katalogów wewnątrz określonego katalogu
- Wysyłanie danych o rozmiarach katalogów do serwera
- Tworzenie pliku, w którym mogą być gromadzone otrzymane dane
- Wysyłanie pliku do serwera zarządzającego (C&C)
- Przyjęcie pliku
- Zmianę nazwy pliku
- Uruchamianie pliku
- Usuwanie pliku
- Tworzenie katalogu
- Usuwanie katalogu
- Sygnalizowanie serwerowi gotowości przyjęcia pliku

Poza tym, backdoor potrafi uruchomić proces powłoki (shell) z określonymi zmiennymi środowiskowymi i udzielić serwerowi C&C dostępu do tej powłoki, uruchomić proxy typu SOCKS na zainfekowanym komputerze, lub uruchomić swoją własną implementację na serwerze portmap.

Analitycy bezpieczeństwa Doctor Web przypuszczają, że za szkodliwym oprogramowaniem stoi chińska grupa hakerów ChinaZ. Sygnatura tego złośliwego programu została dodana do bazy wirusów Dr.Web, dlatego systemy chronione Antywirusem Dr.Web dla Linuxa nie są narażone na działanie nowego backdoora.

Źródło: Doctor Web