Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Linux-троян Stantinko теперь маскируется под web-сервер Apache

26/11/20

hack68-2Операторы одного из самых старых существующих на сегодняшний день активных ботнетов Stantinko обновили свой троян для Linux, и теперь для обхода обнаружения он маскируется под процесс легитимного web-сервера Apache (httpd).

Ботнет Stantinko впервые был обнаружен в 2012 году и изначально атаковал только пользователей Windows. Вредоносное ПО распространялось через взломанные программы или в комплекте с другими приложениями и использовалось для отображения на зараженной системе нежелательной рекламы или криптовалютных майнеров.

Когда прибыль от вредоносного ПО стала расти, операторы ботнета стали модернизировать свой код. К примеру, в 2017 году появилась версия трояна для Linux-устройств. Маскируясь под прокси SOCKS5, данная версия вредоноса превращала зараженные Linux-устройства в узлы в большей прокси-сети. Зараженные системы использовались для осуществления брутфорс-атак на системы управления контентом (CMS), базы данных и другие web-системы.

После компрометации системы операторы Stantinko повышают свои привилегии для доступа к ОС (Linux или Windows) устанавливает копию вредоносного ПО и криптомайнер.

Версия обнаруженного в 2017 году Linux-трояна была 1.2. В недавнем отчете специалисты ИБ-компании Intezer Labs описали версию 2.17. Новая версия вредоносного ПО меньше весит и содержит гораздо меньше функций, чем версия трехгодичной давности, что довольно необычно, ведь с годами, как правило, вредоносные программы становятся объемнее.

Операторы вредоноса удалили из своего кода все второстепенное, оставив только самые главные функции, в том числе функцию прокси. Еще одна причина уменьшения трояна в размере – желание разработчиков свести к минимуму количество оставляемых им цифровых отпечатков. Чем меньше строк в коде, тем сложнее антивирусным решениям их обнаруживать.

В новой версии трояна разработчики изменили имя процесса, под который он маскируется. Теперь это процесс httpd – имя, обычно используемое более известным web-сервером Apache. Причина заключается в желании скрыть вредоносную активность с глаз пользователей, поскольку web-сервер Apache включен во многие дистрибутивы Linux по умолчанию.

Темы:LinuxУгрозыботнетIntezer Labs
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...