SHA1-хеши:
- sha1:ee78829b7057233643abc5fd685b46d3ef040a0347bb4569ac252984760eea2f
- sha1:94f4eee7f986699699cd38eba68bf8adda1037eafbd0590c0d9b77b3133d0bfa
Описание
Троян-дроппер, написанный на языке С для ОС Linux, упакован пакером UPX. Применяется для доставки в скомпрометированную систему pam-бэкдоров Linux.BackDoor.Pam.8/9.
Матрица MITRE
| Этап | Техника |
|---|---|
| Выполнение (TA0002) | Командная оболочка Unix (T1059.004) |
| Предотвращение обнаружения (TA0005) |
Упаковка исполняемого файла (T1027.002) Выполнение команд посредством интерпретатора командной строки (T1059.004) Удаление файлов (T1070.004) Изменение временных меток (T1070.006) Изменение разрешений для файлов и каталогов (Linux и macOS) (T1222.002) |
Принцип действия
-
Дроппер обращается к следующим файлам и удаляет ряд атрибутов с помощью системной утилиты chattr:
Файлы Атрибуты /etc/pam.d/
/etc/pam.d/sshd
/lib/x86_64-linux-gnu/security или /lib64/security/security
/lib/x86_64-linux-gnu/security/pam_sftp.so или /lib64/security/security/pam_sftp.soa — позволяет только дозаписывать информацию в файл
i — запрещает переименование или удаление файла
e — указывает на использование файлом экстентов** Является ошибкой злоумышленников, так как данный атрибут нельзя убрать с помощью chattr.
-
Проверяет хэш файла pam_sftp.so и, если его значение не совпадает со строкой, вшитой в тело дроппера, заменяет файл на пропатченный pam_sftp.so (Linux.BackDoor.Pam.8/9) и исполняет команду touch для копирования временной метки с системного файла с целью маскировки:
для RHEL:
touch /lib64/security/pam_sftp.so -r /lib64/security/pam_userdb,для Debian:
touch /lib/x86_64-linux-gnu/security/pam_sftp.so -r /lib/x86_64-linux-gnu/security/pam_userdb.so.
