Группа исследователей из компании Яндекс опубликовала результаты анализа нового вредоносного ПО Mayhem, реализующего аналогичные Windows-ботам средства для серверов на базе Linux и FreeBSD, которые могут работать без получения расширенных привилегий, довольствуясь правами пользователя хостинга, полученными после проникновением через эксплуатацию уязвимостей в веб-приложениях, сообщает opennet.ru. Исследование проведено на основе изучения работы двух управляющих серверов, обслуживающих примерно 1400 инфицированных вредоносным ПО узлов ботнета. Mayhem примечателен сложной и гибко расширяемой архитектурой. После успешной эксплуатации уязвимости в веб-приложении, на сервер загружается PHP-скрипт, производящий инициализацию бота, который выполнен в форме рахделяемой библиотеки libworker.so, обладающей достаточно богатой функциональностью. Интерес представляет метод запуска вредоносного ПО: выполняется штатная системная утилита /usr/bin/host с выставленным флагом LD_PRELOAD=libworker.so, при этом в библиотеке libworker.so переопределяется функция exit(). Используемые в процессе работы Mayhem файлы и плагины сохраняются в файле ".sd0", внутри которого создаётся образ ФС в формате FAT (применяется открытая библиотека fat_filelib). Поддерживается приём и отправка команд, работа в роли управляющего сервера или узла ботнета, подключение плагинов, реализованных в форме разделяемых библиотек. Например, доступны плагины для выполнения таких действий, как сканирование сайтов на наличие уязвимостей, которые могут привести к выполнению стороннего PHP-кода, сбор данных о сайтах под управлением WordPress, подбор паролей методом перебора для сайтов под управлением популярных систем управления контентом и панелей управления, подбор параметров FTP-аккаунтов, извлечение различной информации со страниц сайтов.
Источник