Le 24 septembre 2015

Les Trojans ciblant Linux ne sont pas très répandus mais les chercheurs de Doctor Web en découvrent tout de même régulièrement. Ils ont analysé le Trojan Linux.Ellipsis.1, dont le comportement sur l'ordinateur infecté est très paranoïaque.

Linux.Ellipsis.1 est conçu pour lancer un serveur proxy sur la machine infectée. Mais cet échantillon a un comportement assez étrange que les spécialistes de Doctor Web ont qualifié de " paranoïaque ". Aujourd'hui, il est connu que les cybercriminels utilisent ce serveur proxy afin de garantir leur anonymat lors de l'accès aux appareils piratés par Linux.Ellipsis.2. Les malfaiteurs agissent comme suit : Ils piratent l'ordinateur à l'aide du Trojan Linux.Ellipsis.2 puis l'utilisent à des fins illicites, en conservant l'anonymat grâce au Trojan Linux.Ellipsis.1.

Après son lancement sur le PC infecté, Linux.Ellipsis.1 supprime son répertoire de fichiers, efface les règles définies pour iptables et essaie d'arrêter certaines applications chargées de l'analyse et de l’enregistrement des logs, ainsi que de l'analyse du trafic. Puis le Trojan supprime les répertoires et fichiers des logs système et crée à leur place des dossiers avec des noms spécifiques. Le Trojan rend ainsi impossible la création de logs portant ces noms.

A l'étape suivante, Linux.Ellipsis.1 1 modifie le fichier de configuration "/etc/coyote/coyote.conf" en ajoutant la ligne : alias passwd=cat\n. Puis il supprime les utilitaires système dans les répertoires /bin/, /sbin/, /usr/bin/, ajoute l'attribut " immuable " (immutable) à certains fichiers nécessaires à son fonctionnement et bloque des adresses IP de sous-réseaux indiquées dans la commande ou son fichier de configuration. Par blocage, on entend l'impossibilité de recevoir ou d’envoyer des paquets de données de/à l'adresse IP d'après le port ou le protocole en définissant des règles iptables.

La tâche principale du Trojan Linux.Ellipsis.1 est de lancer un serveur proxy sur l'ordinateur infecté. Pour cela, il contrôle les connexions via une adresse locale et un port spécifiés et analyse tout le trafic entrant.

Le malware Linux.Ellipsis.1 se caractérise par un comportement très inhabituel : il comprend une liste de lignes dont la présence dans le trafic réseau prévoit le blocage de l'échange de données entre le serveur distant et le PC de la victime via une adresse IP. La liste de ces lignes comporte également une partie variable qui dépend du contenu du paquet entrant. Par exemple, si le paquet entrant inclut la ligne " User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) ", les valeurs " eapmygev. " et " ascuviej. seront ajoutées à la liste. De plus, Linux.Ellipsis.1 utilise une liste de mots suspects et à ignorer.

Il vérifie également toutes les connexions réseau de l'ordinateur et envoie au serveur de gestion l'adresse IP du nœud avec lequel la connexion est établie. Si le serveur répond par la commande " kill ", le Trojan arrête l'application qui a établi cette connexion et bloque cette adresse IP à l'aide d'iptables. Dans son répertoire Linux.Ellipsis.1 crée le fichier " ip.filtered ", où il indique l'adresse IP bloquée à la place de " ip ". Le Trojan effectue la même vérification pour les processus ayant la ligne " sshd ". Les adresses IP de la liste sont bloquées à jamais. Par ailleurs, un des processus du Trojan vérifie le contenu de son répertoire toutes les 30 minutes et recherche les fichiers créés plus de 2 heures auparavant dont les noms commencent par une adresse IP, puis les supprime ainsi que la règle correspondante dans le tableau iptables.

Après la détection de ce Trojan, les chercheurs ont détecté le Trojan Linux.Ellipsis.2, du même auteur, conçu pour lancer des attaques par force brute. Comme Linux.Ellipsis.1, ce Trojan efface la liste des règles définies pour iptables et supprime les applications-obstacles, crée des dossiers empêchant la journalisation de l'OS et s'adresse au serveur de gestion. Linux.Ellipsis.2 calcule automatiquement le nombre de threads de scan et connexions ssh en se basant sur la fréquence du processeur de la machine infectée.

La tâche reçue du serveur de gestion comprend l'adresse IP du sous-réseau que le Trojan analyse pour rechercher la présence d’appareils établissant une connexion SSH sur le port 22. S’il trouve un appareil, le Trojan essaie de le pirater en utilisant une attaque par dictionnaire et en cas de succès, notifie le serveur.

Les signatures de ces malwares ont été ajoutées aux bases virales Dr.Web, c'est pourquoi ils ne représentent aucun danger pour les utilisateurs des logiciels antivirus Dr.Web.

Plus d'infos sur cette menace