Исследователи из компании Chronicle провели детальный анализ Linux-версии трояна Winnti, ранее ускользавшей от внимания ИБ-специалистов. По их мнению, функции этого штамма во многом совпадают с возможностями вредоносной программы, подробно описанной экспертами «Лаборатории Касперского» еще в 2013 году. Как утверждают аналитики, зловред создан китайской проправительственной кибергруппировкой, использующей новый вариант приложения для целевых атак.

Вредонос состоит из двух модулей: один обладает базовыми функциями бэкдора, другой отвечает за маскировку действий программы в зараженной системе. Полезная нагрузка доставляется на компьютер в зашифрованном виде и декодируется путем гаммирования. Возможности приложения libxselinux соответствуют Windows-варианту Winnti 2.0 и включают в себя работу с тремя командными серверами, чьи адреса жестко зашиты в код зловреда.

Троян использует протоколы ICMP, HTTP, а также собственные реализации TCP и UDP, чтобы получать дополнительные модули из центра управления. Как отмечают специалисты, киберпреступники также способны напрямую подключаться к зараженной системе, если командные серверы Winnti окажутся недоступны. Конечные функции вредоносного приложения определяются набором плагинов, которые могут варьироваться в зависимости от целей атаки.

Руткит libxselinux.so отвечает за сокрытие действий Winnti на инфицированной машине. Программа представляет собой доработанный вариант утилиты Azazel, доступной на GitHub. Скрипт назначает основным функциям зловреда буквенные коды и модифицирует их отклик на запросы, чтобы не допустить срабатывания антивирусных сканеров.

Разработчики Winnti добавили в Azazel оператор Decrypt2, который применяется для расшифровки конфигурационных файлов модуля libxselinux.so. Кроме того, авторы зловреда включили в код утилиты уникальные идентификаторы портов и процессов, задействованных трояном. В дальнейшем эти имена используются при обработке команд из центра управления.

Linux-версия Winnti обнаружилась при изучении деталей атаки на фармацевтическую компанию Bayer. Эксперты нашли троян на серверах организации в начале прошлого года, однако намеренно не удаляли его из системы, чтобы изучить работу вредоносного ПО. В ходе исследования выяснилось, что первые проникновения с применением Linux-варианта бэкдора датируются 2015 годом.

Категории: Аналитика, Вредоносные программы