Botnet IptabLes & IptabLex atakuje serwery Linux
Napisał: Patryk Krawaczyński
08/09/2014 w Bezpieczeństwo Brak komentarzy. (artykuł nr 458, ilość słów: 351)
O
ddział Akamai – Prolexic odkrył nowy botnet, który nazwał “IptabLes and IptabLex“. Atakuje on źle skonfigurowane oraz zaniedbane serwery Linux, które po instalacji szkodliwego oprogramowania są wykorzystywane do przeprowadzania ataków DDoS na infrastrukturę DNS oraz do ataków typu SYN flood (największy z nich w szczycie osiągnął 119 Gbps). Infekowane są głównie serwery, na których uruchomione jest podatne oprogramowanie typu Apache Struts, Tomcat oraz Elasticsearch.
Jak tylko malware uzyska dostęp i zainfekuje serwer jest w stanie rozszerzyć swoje uprawnienia i oczekiwać na polecenia od serwerów Command and Control Center (C&C) stając się częścią botnetu. W ramach po instalacyjnych czynności tworzone są dwa skrypty: .IptabLes
oraz .IptabLex
umieszczane w katalogu /boot
. Uruchamiają one przy restarcie serwera plik binarny o tej samej nazwie: .IptabLes
. Oprogramowanie to posiada również mechanizm automatycznej aktualizacji, który powoduje, że zainfekowany system łączy się z zdalnym hostem, aby pobrać nowszą wersję pliku (w warunkach laboratoryjnych udało się namierzyć dwa zakodowane adresy IP pochodzące z Azji).
Firma Prolexic udostępniła kilka poleceń, które pozwalają na wyczyszczenie systemu z szkodliwych plików binarnych (raz uruchomione z prawami administratora wymagają restartu serwera oraz przeprowadzenia inspekcji systemu pod kątem zabezpieczeń):
sudo find / -type f -name '.*tabLe*' -exec rm -f {} ';' ps -axu | awk '/\.IptabLe/ {print $2}' | sudo xargs kill -9
Jest to kolejny krok w rozwoju cyberprzestępczości, ponieważ system operacyjny Linux nie jest zazwyczaj używany do tworzenia sieci typu botnet. Atakujący wykorzystali znane luki bezpieczeństwa w popularnych oprogramowaniach do przejęcia kontroli nad systemem oraz wykonywania ataków DDoS. Niestety nie zawsze administratorzy są świadomi zagrożeń związanych z standardowymi konfiguracjami oraz zdezaktualizowanym oprogramowaniem lub nie są w stanie wykryć / zareagować na tyle szybko, aby okno czasowe nowych infekcji w porównaniu do wyleczonych serwerów było na tyle małe, aby tworzenie botnetu się nie opłacało.
Więcej informacji: Akamai Warns of IptabLes and IptabLex Infection on Linux, DDoS attacks