Сценарии современных сетевых атак иногда напоминают детектив. Подозрение сперва падает на невиновных, а злодей удачно маскируется , пока за него сообща не возьмутся специалисты. Специалисты компании Check Point опубликовали отчет о расследовании проишествия с применением нового способа атак на Linux-серверы. В нём приводится анализ тактики преступников и использованных ими вирусов, и даются советы по защите от них.
Замечательные Linux-серверы в составе ботнета снабжают суммарный трафик 150 Гбит/с для DDoS атак (изображение: sandia.gov).
В июле этого года с группой расследования инцидентов Check Point связался большой клиент, что нашёл необычные действия в файловой совокупности на одном из собственных серверов DNS BIND, трудившимся под управлением ОС Linux. Странность заключалась в солидном числе своеобразных файлов, записанных в системных каталогах.
В следствии анализа специалисты установили, что ранее в том же месяце сервер подвергся брутфорсу учетных записей SSH. Его особенность пребывала в том, что атакующих IP-адресов было довольно много, и практически все они принадлежали китайскими подсетям. Стандартные способы бана по IP были неэффективны. Любой узел успевал перебрать только пара паролей, но благодаря массированной атаке через пара дней был взят рутовый доступ.
Брутфорс SSH согласно данным логов (изображение: Check Point).
Применяя рут, атакующие внедрили на сервер троян XOR.DDoS и бэкдор Groundhog. Они «зомбируют» заражённые автомобили, делая их частью ботнета, что в будущем употребляется с целью проведения масштабных DDoS-других целей и атак.
Аналитики утверждают мастерство авторов этих вирусов и целенаправленность выполненной атаки. Большая часть вторых троянов и бэкдоров распространяются хаотично, инфицируя каждые уязвимые совокупности независимо от их роли. Эти же передавали лишь серверы под управлением Linux с потенциальным доступом к скоростным каналам. Высокая пропускная свойство каждого из заражённых серверов в ботнете даёт возможность проводить DDoS-атаки невиданной интенсивности.
Примечательно, что на момент расследования проишествия троян XOR.DDoS уже был известен, а вот семь дней стал открытием. В следствии анализа стало ясно, что они очень схожи на уровне конфигурации, способов коммуникации и методов защиты. Глубокое изучение их кода разрешает сделать вывод, что троян и бэкдор имеют неспециализированное происхождение. «Вполне возможно, XOR.DDoS и Groundhog – это различные модули одного семейства вирусов, созданных одним автором», – поясняет начальник отдела реагирования на инциденты Check Point Дэн Уайли (Dan Wiley).
Фрагмент кода XOR.DDoS, загружающий дополнительные вредоносные компоненты (изображение: malwaremustdie.org).
В соответствии с прошлым расследованиям, брутфорс SSH довольно часто начинался в подсети, принадлежащей китайской компании HEE THAI LIMITED (AS63854). В апрельском отчёте упоминается о блокировании её трафика и лишении ботнета возможности наступления. Но последнее изучение Check Point продемонстрировало, что преступникам удалось перевести собственный ботнет-трафик в подсеть CHINANET, чьи сервера находятся в провинции Цзянсу.
Предстоящий анализ логов заражённого сервера и мониторинг его активности подтвердил, что преступники сравнительно не так давно поменяли подсети. Они прекратили применять те же IP-адреса, что и для начального брута SSH. По данным, собранным на протяжении расследования работой Check Point ThreatCloud, это был не единственный случай заражения, а управляемая распределенная кампания, направленная на серверы в мире.
Процедура заражения серверов складывалась из двух главных этапов: брута SSH и инфицирования комплектом из трояна и бэкдора. Сперва выполнялось внедрение XOR.DDoS. Данный троянец значительно чаще употребляется в современных DDoS-атаках, поддерживая такие распространённые способы, как SYN Flood, ACK Flood и DNS amplification. Цели и параметры атак ему передаёт CC-сервер, с которым XOR.DDoS поддерживает расширенное сотрудничество: он может принимать и отправлять файлы, выполнять скрипты и устанавливать другие вредоносные компоненты. Шифрование соединения с CC сводится к очевидной процедуре XOR, отражённой в заглавии трояна.
Но для успешного наполнения ботнета мало заразить очередной сервер. Троян возможно обнаружен, а пароль доступа поменян в любую секунду, исходя из этого преступники кроме этого применяли функции бэкдора Groundhog, дабы обеспечить себе постоянный доступ. Его главная задача пребывает в удалённом управлении конфигурацией сервера, приёме командных файлов и сообщений, каковые он кроме этого может запускать на выполнение. Для маскировки сообщение с CC происходит через различные порты TCP: 22, 80, 443 и другие. Groundhog применяет предопределенный домен GroUndHog.MapSnode.CoM (211.110.1.32), в честь которого он и был назван.
Управляющий домен бэкдора Groundhog (изображение: malwaremustdie.org).
Появлявшись на сервере, трояны совершают пара действий, снабжающих их повторную активацию при перезагрузки. Скрипт автозагрузки создаётся в папке /etc/init.d. Второй скрипт размещается по адресу /etc/cron.hourly/gcc.sh и используется для ежечасной проверки наличия троянов в совокупности. Еще один скрипт несёт ответственность за принудительное включение всех сетевых интерфейсов и используется для запуска ранее загруженных вредоносных файлов.
В современных атаках довольно часто употребляются сходу пара вирусов. Любая из них по отдельности выглядит очередным трояном, сетевым червём либо бэкдором, специализирующимся на определенном типе целей – от домашних и смартфонов ПК до высокопроизводительных серверов и маршрутизаторов. Но их умелое сочетание открывает для атакующих совсем иные возможности построения ботнетов и исполнения целенаправленных атак.
Расследования последних инцидентов говорят о том, что ботнеты стали самоё совершенным средством проведения DDoS-атак. Входящие в их состав узлы – только инфицированные автомобили, чьи обладатели в большинстве случаев не знают о несанкционированном применении их мощностей. Исходя из этого не нужно принимать их как инициаторов атаки. Дабы отыскать её настоящий источник, нужно вернуть всю цепочку событий. Сложно распознать настоящих кукловодов – тех, кто наполнял ботнет заражёнными узлами для продажи CC либо личного применения.
География целей в атаке XOR.DDoS + GroUndHog (изображение: Check Point).
Эксперты CheckPoint отмечают, что сейчас изменился темперамент известных киберугроз и появилось множество новых. Большие организации всё чаще становятся жертвами целенаправленных атак, среди которых главную массу составляют масштабные DDoS-атаки повышенной сложности. Из-за распределённого применения и характера в них заражённых серверов с скоростными каналами, такие атаки тяжело блокировать хорошими низкоуровневыми инструментами.
«Мы думаем, что современные элементы управления безопасности смогут не допустить такую атаку, – комментирует Дэн Уайли. – Мониторинг логов, блокировка повторяющихся логинов, ограничение удаленного доступа, применение NGFW и другие меры значительно снижают возможности атакующей стороны».