Nový malware pro Linux napadá zařízení připojená k Internetu

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Batou
Datum: 2.12.2013
Hodnocení/Hlasovalo: 5/2

Využívá k tomu více než rok starou zranitelnost v PHP. Útočí na routery, set-top boxy i bezpečnostní kamery.

Malware, který byl Symantecem pojmenován Linux.Darlloz, se zaměřuje na 32b architekturu procesorů. Využívá zranitelnosti, jež byla opravena již v březnu minulého roku. Jeho tvůrce pak podle výzkumníka Kaoru Hayashi ze Symantecu využil mimo jiné zdrojového kódu z proof-of-conceptu zveřejněného na konci letošního října.

A co že vlastně Darlloz umí? Generuje náhodně IP adresy a snaží se přistupovat ke konkrétním cestám na každém stroji, který nemá žádné, či pouze defaultní heslo. Pak zasílá HTTP POST requesty, kterými exploituje výše zmíněnou zranitelnost PHP. Pokud exploit zafunguje, stáhne si svoji další část a pokračuje v hledání cílů.

Dále upraví IP tables tak, aby zahazovaly vše z TCP portu 23 (telnet). Poté spustí proces s programem telnetd, který běží na jiném portu. Zařízení je pak pod nadvládou útočníka.


Červ generuje IP adresy vyjma následujících:


Dále zkouší tato hesla:


Potíž s podobnými červy je ta, že i pokud si uživatel/administrátor všimne napadnutelného zařízení, ne vždy může updatovat jeho stávající software. Vždy totiž záleží na výrobci, jestli update poskytne. Jindy může v cestě stát pomalý procesor, či nedostatek paměti.

Rady jsou v tomto případu jednoduché - updatovat software, měnit defaultní hesla. Nebo ještě lépe blokovat příchozí HTTP POST requesty s konkrétními cestami na vaší bráně do Internetu. Více informací ve zdroji.