Mayhem – Početak kraja urbane legende neranjivosti *nix OS-a?

Novi tip malvera, nazvan Mayhem, koji gađa specifično servere bazirane na Unix platformi, je već inficirao preko 1400 servera u svetu, i traži nove žrtve. 

Mayhem malver

Tri eksperta, Andrej Kovalev, Konstantin Ostrashkevich and Evgeny Sidorov, koji rade u ruskom pretraživaču i internet portalu Yandex, su otkrili ovaj virus. Presreli su i ispratili komunikaciju između zaraženih i dva servera zadužena za komandovanje i kontrolu (eng. C&C). Virus gađa servere koji su na Unix i FreeBSD platformama.

Najstrašnije od svega je što nije potreban root superkorisnički pristup mašini, što je bio jedan od osnovnih razloga zašto su se korisnici kleli u neranjivost sistema baziranih na Unix-u. Serveri se inficiraju izvršavajući PHP skript, koji instalira Mayhem na meti i uspostavlja komunikaciju sa komandujućim serverom. Kako je modularan, zavisno od update-a koji se posle download-uje na zaraženi server, i sam Mayhem ima drugačije funkcionalnosti. Jedan tip omogućava brute force razbijanje šifara, dok drugi prelistava web strane i sakuplja informacije. Mayhem se širi koristeći jednu od najčešćih ranjivosti sajtova i servera – uključivanje udaljenih datoteka (eng. RFI – remote file inclusion), čak koristi i Google humans.txt da bi testirao da li postoji ova ranjivost. Kada pronađe tu ili sličnu ranjivost koja mu omogućava da pokrene PHP skript na žrtvi, ubacuje libworker.so na inficirani sistem, i poziva svoje komandujuće servere.

Potom stvara sakrivenu sistemsku datoteku, najčešće sd0, i download-uje 8 pluginova na server. VirusTotal nije pokupio nijedan od plugin-ova kao maliciozan.

Unix OS

Za obične web strane i server, održavanje je skupo i potrošnja resursa je velika. Na većini autoupdate nije uključen, jer web administratori najčešće moraju ručno da ažuriraju sajt i da vide i isprave sve što poremeti normalnu funkcionalnost. To, u kombinaciji sa nedostatkom antivirusnih tehnologija za *nix bazirane sisteme, zbog urbane legende o njihovoj neranjivosti, aktivnih odbrana i provere memorijskih procesa, eksponencijalno povećava broj potencionalno ranjivih servera.

Izvori: itnews.com.au
theregister.co.uk
Slike: virusbtn.com
my-iguru.com


"Citate zvanicni blog Data Solutions Laboratorije za spasavanje podataka sa hard diskova, memorijskih kartica i RAID nizova" - datasolutions.rs

Leave a Reply

%d bloggers like this: