Бэкдор FireWood угрожает пользователям Linux-систем

Обнаружен обновленный вариант бэкдора FireWood, ориентированный на системы Linux и обладающий функционалом трояна удаленного доступа (RAT). Основные характеристики вредоносного ПО – маскировка активности с использованием руткитов на уровне ядра, шифрование данных блочным алгоритмом TEA, а также обеспечение длительного несанкционированного доступа с возможностью выполнения произвольных команд, сбора конфиденциальной информации и ее передачи на серверы злоумышленников.

Инженер-аналитик Ирина Дмитриева из лаборатории кибербезопасности «Газинформсервис» поясняет механизм работы вредоноса: “Злоумышленники, использующие FireWood, начинают с веб-шеллов на скомпрометированных устройствах. Вредонос расширяет возможности злоумышленников на зараженных хостах, позволяя проводить разведку, похищать данные и наносить ущерб целостности системы”.

Техническая архитектура вредоносного ПО претерпела ряд изменений. Теперь FireWood проверяет наличие прав root или ядра после завершения процесса демонизации и сохранения идентификатора процесса (PID). Для повышения стабильности работы реализована улучшенная проверка прав доступа (root/kernel) после запуска. Устойчивость соединения с управляющим сервером поддерживается за счет повторяющихся попыток подключения с заданными интервалами ожидания, используя протокол связи ConnectToSvr().

“FireWood представляет серьезную опасность для инфраструктур Linux в силу своей скрытности и широкого набора функций. Для эффективной защиты требуется комплексный подход, включающий EDR-системы с поведенческим анализом, HIDS, межсетевые экраны нового поколения (NGFW/IPS) с SSL-инспекцией, WAF и строгий контроль прав доступа в IDM-системах. NAC (Network Access Control) может стать эффективным решением для мониторинга несанкционированной активности в сети, обнаруживая нелегитимные действия и предоставляя соответствующую информацию. “Газинформсервис” предлагает такое решение в составе комплекса Efros DefOps”, – подчеркивает эксперт компании.

“Кроме того, необходимо отметить важность роли SOC-аналитиков в настройке правил обнаружения потенциальных угроз, организации процессов реагирования на инциденты, а также интеграции информации о киберугрозах для постоянного совершенствования защитных мер. “Газинформсервис” готов оказать поддержку в этих вопросах, предоставляя услуги оперативного реагирования 24/7 в соответствии с согласованными уровнями обслуживания (SLA)”, – заключает Дмитриева.