Для осуществления атак и поиска устаревшего ПО вредонос использует базу данных об ошибках в конфигурациях серверов.
Эксперты из компании «Яндекс» сообщили об обнаружении нового вредоносного ПО под названием Mayhem, инфицирующего *nix-серверы на базе Linux и FreeBSD. Для осуществления атак и поиска устаревшего ПО вредонос использует базу данных об ошибках в конфигурациях серверов и эксплуатирует уязвимости в web-приложениях.
Атака на сервер осуществляется следующим образом: сначала загружается PHP-скрипт, инициализирующий бота, который выполнен в форме разделяемой многофункциональной библиотеки libworker.so. Для запуска Mayhem выполняется штатная системная утилита /usr/bin/host с флагом LD_PRELOAD=libworker.so, а в libworker.so переопределяется функция exit().
Файлы и плагины, используемые вредоносом, сохраняются в файле .sd0. Внутри него создается образ ФС в формате FAT. Примечательно, что эти плагины не детектируются VirusTotal. Они включают в себя ряд систем подбора паролей для FTP, инструменты для компрометации Wordpress и сбора данных о контенте на серверах и т. д.
По словам Адрея Ковалева, Константина Острашкевича и Евгения Сидорова, обнаруживших вредоносное ПО, в настоящее время обновления на *nix-серверы зачастую устанавливаются администраторами вручную. Также вручную тестируется защита от кибератак. Эксперты отмечают, что для обычных ресурсов серьезные процессы обслуживания и тестирования слишком дороги, а у администраторов не хватает на это времени.
Исследователи также сообщили, что на данный момент Mayhem инфицировал 1400 web-серверов.
Наш канал — питательная среда для вашего интеллекта