Обнаружен растущий ботнет на Linux-серверах, способный проводить DDoS-атаки. Для распространения своего зловреда ботоводы используют уязвимость в веб-интерфейсе Webmin, которую разработчики пропатчили в августе.

Проблема, получившая идентификатор CVE-2019-15107, позволяет удаленно и без авторизации выполнить в системе любую команду с правами root. Эксплуатация возможна лишь в том случае, когда порт Webmin-службы (TCP/10000) открыт и доступна опция смены пароля.

Согласно статистике разработчика, инструмент удаленного администрирования Webmin насчитывает более миллиона установок. На момент выхода патча для CVE-2019-15107 в Интернете числилось свыше 200 тыс. серверов на базе Unix-подобных ОС с открытым TCP-портом 10000; более 13 тыс. из них использовали уязвимую версию Webmin.

О существовании ботнета, который в Qihoo 360 нарекли Roboto, исследователи впервые узнали в конце августа, обнаружив среди детектов подозрительный ELF-файл. В октябре на ловушках объявился другой незнакомый образец, оказавшийся загрузчиком нового бота. За три месяца наблюдений экспертам удалось собрать достаточно материала для анализа, и два дня назад они опубликовали полученные результаты.

Как оказалось, загрузчик проникает на сервер посредством эксплуатации вышеупомянутой уязвимости в Webmin. Модуль бота он скачивает с двух вшитых в код URL в соответствии с архитектурой используемого жертвой ЦП (i386 или x86_64). Он также расшифровывает полезную нагрузку и запускает ее на исполнение.

Набор функций нового Linux-бота позволяет ему совершать следующие действия:

  • создать обратный шелл, позволяющий злоумышленникам выполнять шелл-команды на зараженном хосте;
  • собирать информацию о системе, запущенных процессах и сети и отправлять ее на удаленный сервер;
  • выполнять системные команды;
  • запускать загруженные файлы;
  • деинсталлироваться;
  • проводить DDoS-атаки типа ICMP flood, HTTP flood, TCP flood и UDP flood.

Приводя этот перечень, исследователи отметили, что за все время мониторинга Roboto им удалось лишь один раз зафиксировать команду, связанную с DDoS, — по всей видимости, ботоводы пока сосредоточены на расширении своих владений.

Чтобы скрыть свое присутствие на зараженной машине, новый бот создает скрипт самозапуска и маскирует имена своих файлов и процессов. Для обеспечения целостности и сохранности своих компонентов и отправляемых данных Roboto использует множество алгоритмов, в том числе Curve25519, Ed25519, TEA, SHA256 и HMAC-SHA256.

Однако самым большим сюрпризом для исследователей оказалась внутренняя структура ботнета: он построен как одноранговая сеть, то есть его очень трудно обезвредить. В код бота Roboto вшиты четыре группы IP-адресов пиров и открытые ключи для шифрования данных и проверки подлинности. Закрытые ключи зловред хранит в создаваемых им конфигурационных файлах вместе с информацией о пирах и портах.

Команды боту могут подаваться через сокет домена Unix, и новый участник сети начнет их транслировать другим пирам. На настоящий момент удалось выявить две команды Roboto: info и peers. По первой бот должен предъявить прописанные в коде данные и информацию о публичном ключе, по второй — сведения о текущем p2p-собеседнике.

Категории: Аналитика, Вредоносные программы, Уязвимости