Linuksowy backdoor wstrzyknięty do SSH

Symantec opublikował analizę interesującego linuksowego backdoora, który był w stanie skutecznie kamuflować swą obecność oraz komunikację nawet w systemach o restrykcyjnej kontroli bezpieczeństwa.

Linux.Fokirtor, bo tak właśnie został ochrzczony ten zaawansowany kod tylnej furtki, był w stanie wstrzyknąć własne funkcje bezpośrednio w proces działającego już uprzednio w systemie serwera SSH.

Cała komunikacja, by uniknąć wzbudzających podejrzenia transmisji, również była wpleciona pomiędzy typowy ruch SSH. Fokirtor śledził po prostu cały przekaz tego typu, a komendy przeznaczone dla siebie rozpoznawał po zapowiadającej je sekwencji znaków: „:!;.”.

Po początkowym znaczniku następowały już właściwe polecenia zaszyfrowane za pomocą algorytmu Blowfish oraz zakodowane z wykorzystaniem Base64.

Wykrycie tego nietypowego backdoora jest możliwe np. na podstawie identyfikacji ruchu sieciowego zawierającego powyższą charakterystyczną sekwencję znaków, możliwe jest też wykrycie kilku typowych ciągów znaków w zrzucie procesu SSHD.

— WS