Virtual-IT.pl - wirtualizacja cloud computing storage data center

15 najlepiej płatnych certyfikacji w 2015 roku
15 najlepiej płatnych certyfikacji w 2015 roku

Certyfikacja IT stanowi niezbędny element w wielu obszarach. Chcąc aktywnie uczestniczyć w rynku pracy, należy stale podnosić swoje kwalifikacje, a certyfikacja jest jedną z metod pozwalających na usystematyzowanie i poszerzenie wiedzy. Posiadanie odpowiednich certyfikatów niejednokrotnie jest elementem wymaganym po...

Czytaj więcej...

XenServer ma 10 lat!
XenServer ma 10 lat!

Dokładnie 10 lat temu, końcem sierpnia 2006 roku firma XenSource, sponsorująca prace nad otwartoźródłowym hypervisorem Xen, wydała pierwszą komercyjną wersję produktu do wirtualizacji, skierowaną do firm każdej wielkości - XenEnterprise (nazwa kodowa 'Burbank') - bazującą na Xen 3.0.0.

Czytaj więcej...

Altaro VM Backup dla dostawców usług IT!
Altaro VM Backup dla dostawców usług IT!

Altaro Software, dostawca rozwiązań do tworzenia kopii zapasowych, znany głównie ze swojego flagowego produktu VM Backup, pozwalającego na tworzenie kopii zapasowych maszyn wirtualnych działających w środowisku Microsoft Hyper-V i VMware vSphere, udostępnił portal online, zbudowany specjalnie z myślą o dostawcach us...

Czytaj więcej...

Czy ufamy chmurze? - Raport Intel Security
Czy ufamy chmurze? - Raport Intel Security

Tylko jedna trzecia (34%) osób przebadanych w ramach nowego projektu Intel Security uznała, że członkowie najwyższego kierownictwa w ich organizacjach w pełni rozumieją kwestie bezpieczeństwa chmury obliczeniowej. Kompletne wyniki ankiety wskazują na ogromną, wręcz krytyczną potrzebę zwiększania poziomu zaufania do ...

Czytaj więcej...

Altaro VM Backup 6 dla Hyper-V i VMware - przegląd i instalacja (cz. 1)
Altaro VM Backup 6 dla Hyper-V i VMware - przegląd i instalacja (cz. 1)

Wraz z rozwojem technologii wirtualizacji i wynikającymi z tego zmianami krajobrazu środowisk IT, zmienia się podejście do ochrony danych. Z wirtualizacją przegrało wiele rozwiązań zaprojektowanych z myślą o środowiskach fizycznych. Na rynku pojawiły się nowe rozwiązania, opracowane z myślą o środowiskach wirtualnyc...

Czytaj więcej...

Wchodzisz w chmurę? Sprawdź umowę by uniknąć kosztownych perturbacji
Wchodzisz w chmurę? Sprawdź umowę by uniknąć kosztownych perturbacji

Współpraca z niewłaściwym dostawcą usług chmurowych może mieć swoje nieprzyjemne konsekwencje. Ważne jest by potencjalni klienci wiedzieli dokładnie na co się decydują wybierając chmurę obliczeniową. Migracja do chmury, to kluczowa decyzja biznesowa, niosąca ze sobą długoterminowe skutki. Jeżeli chcesz skorzystać z ...

Czytaj więcej...

Microsoft PowerShell z otwartym kodem dla Linuksa i OS X
Microsoft PowerShell z otwartym kodem dla Linuksa i OS X

Po otwarciu źródeł .Net, wydaniu otwartego Visual Studio Code, udostępnieniu silnika Chakra Javascript, zapowiedzi wydania SQL Server dla systemów Linux i szerokiemu wsparciu maszyn wirtualnych z linuksami przez hypervisor Hyper-V i chmurę Azure, gigant z Redmond zrobił kolejny krok w stronę świata open source. Micr...

Czytaj więcej...

Aktualności

Trojan uruchamia serwery proxy na komputerach z systemem Linux

Linux TrojanTrojany przeznaczone dla komputerów z systemem Linux nie są tak rozpowszechnione, jak złośliwe programy dla innych systemów operacyjnych. Mimo to w ostatnim czasie analitycy bezpieczeństwa Doctor Web zbadali kolejnego wirusa dla Linuksa. Ostatnio przeanalizowany został trojan Linux.Ellipsis.1, który zachowuje się w nietypowy, „paranoidalny” sposób.
 

Linux.Ellipsis.1 został zaprojektowany w celu uruchomienia na zaatakowanej maszynie serwera proxy. Jednakże ta próbka wirusa nie jest taka, jak inne złośliwe programy dla systemu Linux. Zachowanie Linux.Ellipsis.1 zostało określone przez analityków bezpieczeństwa Doctor Web jako „paranoidalne”. Wiadomo już, że cyberprzestępcy używają tych serwerów proxy do uzyskania anonimowego dostępu do urządzeń zhakowanych przez inny złośliwy program Linux.Ellipsis.2.

Schemat ataku wygląda następująco: używając Linux.Ellipsis.2, cyberprzestępcy uzyskują nieautoryzowany dostęp poprzez SSH do dowolnego urządzenia sieciowego lub komputera, a następnie używają go do realizacji złośliwej aktywności zachowując anonimowość dzięki Linux.Ellipsis.1.

Uruchomiony na zainfekowanej maszynie, Linux.Ellipsis.1 usuwa swój katalog roboczy, czyści listę zasad iptables i próbuje zakończyć procesy kilku uruchomionych aplikacji, na przykład programów używanych do logowania zdarzeń i analizowania ruchu. Następnie trojan podmienia istniejące katalogi i pliki dziennika zdarzeń systemu na foldery o tych samych nazwach. Dzięki temu możliwe będzie stworzenie logów o identycznych nazwach.

Następnie Linux.Ellipsis.1 modyfikuje plik konfiguracyjny „/etc/coyote/coyote.conf” dodając ciąg alias passwd=cat\n. Potem usuwa kilka narzędzi systemowych z katalogów /bin/, /sbin/ i /usr/bin/ i dodaje atrybut „tylko do odczytu” do kilku plików niezbędnych dla jego działania. Co więcej, trojan blokuje podsieć adresów IP, określonych w pliku konfiguracyjnym lub w komendzie odebranej przez trojana. Oznacza to, że po utworzeniu reguły iptables, określony adres IP nie jest dopuszczony do wysyłania lub odbierania pakietów przez określony port lub protokół. Głównym celem Linux.Ellipsis.1 jest uruchomienie serwera proxy na zainfekowanym komputerze. Dlatego trojan monitoruje połączenia na lokalnym adresie i porcie filtrując przesyłany przez nie ruch.

W porównaniu z innymi złośliwymi programami, zachowanie Linux.Ellipsis.1 jest dość unikalne. Trojan zawiera listę ciągów testowych, pod kątem których dokonuje przeszukiwania ruchu sieciowego. Jeśli dowolny z tych ciągów zostanie wykryty, trojan blokuje przesyłanie danych na odpowiadający temu ciągowi (adresowi IP) zdalny serwer. Lista zabronionych słów posiada również część, która zmienia się zgodnie z zawartością przychodzących pakietów. Na przykład, jeśli przychodzący pakiet zawiera  ciąg “User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)”, lista jest uzupełniana wartościami “eapmygev.” i “ascuviej.”. Ponadto trojan wykorzystuje również listę słów ignorowanych i podejrzanych.

“Paranoidalne” zachowanie Linux.Ellipsis.1 objawia się również tym, że oprócz blokowania zdalnych węzłów z listy, trojan sprawdza także połączenia sieciowe i wysyła na zdalny serwer adres IP, na który zestawione jest dane połączenie. Jeśli serwer odpowie komendą “kill”, trojan zamyka aplikację, która zestawiła to połączenie i blokuje adres IP z użyciem iptables. W katalogu domowym Linux.Ellipsis.1 tworzy plik "ip.filtered", w którym "ip" jest zastępowane ciągiem reprezentującym zablokowany adres IP. To samo sprawdzanie jest stosowane do procesów zawierających w swoich nazwach ciąg "sshd". Adresy IP z list są blokowane na stałe, podczas gdy inne adresy są blokowane tylko na 2 godziny. Co każde pół godziny odrębny złośliwy proces skanuje zawartość katalogu domowego szukając plików, które były utworzone więcej niż dwie godziny temu i których nazwy zaczynają się od adresu IP. Następnie te pliki są kasowane i tworzona jest odpowiednia reguła w iptables.

Tuż po tym, jak Linux.Ellipsis.1 został wykryty, analitycy bezpieczeństwa Doctor Web wyśledzili Linux.Ellipsis.2. Trojan ten, sądząc po niektórych jego funkcjonalnościach, został stworzony przez tego samego twórcę wirusów i zaprojektowany do łamania haseł metodą brute-force. Tak jak Linux.Ellipsis.1, tak i jego druga wersja czyści listę reguł iptables, usuwa aplikacje które mu “przeszkadzają”, tworzy foldery aby powstrzymać system operacyjny przed logowaniem zdarzeń i odwołuje się do serwera w celu otrzymania zadań. Adres serwera otrzymuje jako argument przychodzący podczas uruchomienia. Linux.Ellipsis.2 oblicza całkowitą liczbę wątków skanowania i połączeń SSH na podstawie częstotliwości taktowania procesora zainfekowanego komputera.

Zadanie pozyskane z serwera zawiera adres IP podsieci do przeskanowania przez złośliwy program pod kątem urządzeń z otwartymi połączeniami SSH na porcie 22. Jeśli takie połączenia zostaną wykryte, trojan próbuje podłączyć się do nich, korzystając z wszystkich par login:hasło ze specjalnej listy. Jeśli któraś z prób zakończy się sukcesem, trojan wysyła odpowiednią wiadomość na serwer kontrolowany przez cyberprzestępców.

Sygnatury wszystkich programów wymienionych powyżej zostały dodane do bazy wirusów Dr.Web.

Źródło: Doctor Web