Был ваш — стал наш. Как один короткий код делает из рабочей станции послушного зомби
NewsMakerДаже бдительные антивирусы в упор не замечают эту угрозу. Но почему?
Исследователь по имени Ксавье Мертенс недавно обратил внимание на новый вредоносный Bash-скрипт, который незаметно превращает обычный сервер или рабочую станцию в точку удалённого доступа. На первый взгляд, код выглядит простым и даже снабжён комментариями, но за внешней прозрачностью скрывается набор приёмов, позволяющих закрепиться в системе и скрыть следы активности.
Скрипт устанавливает бэкдор на базе GSocket — инструмента для сетевого взаимодействия через глобальную релейную инфраструктуру. Вместо привычных IP-адресов и открытых портов используется общий секрет, а соединение строится через исходящие подключения. Такой подход помогает обходить традиционные средства защиты. Для удалённого доступа применяется утилита gs-netcat, способная открывать оболочку, передавать файлы и создавать туннели.
Обнаруженный образец заинтересовал специалистов ещё и тем, что антивирусные системы распознают угрозу слабо — на момент анализа срабатывание показали лишь несколько движков. При этом код не содержит обфускации и выглядит так, будто автор проверял его работоспособность перед дальнейшим распространением.
После запуска скрипт загружает клиент GSocket и устанавливает соединение с внешним узлом. Затем вредонос закрепляется в системе сразу несколькими способами. Создаётся задание в cron, которое каждый час перезапускает скрытый процесс. Дополнительно та же команда запуска прописывается в .profile, что обеспечивает повторный запуск при входе пользователя.
Исследователь по имени Ксавье Мертенс недавно обратил внимание на новый вредоносный Bash-скрипт, который незаметно превращает обычный сервер или рабочую станцию в точку удалённого доступа. На первый взгляд, код выглядит простым и даже снабжён комментариями, но за внешней прозрачностью скрывается набор приёмов, позволяющих закрепиться в системе и скрыть следы активности.
Скрипт устанавливает бэкдор на базе GSocket — инструмента для сетевого взаимодействия через глобальную релейную инфраструктуру. Вместо привычных IP-адресов и открытых портов используется общий секрет, а соединение строится через исходящие подключения. Такой подход помогает обходить традиционные средства защиты. Для удалённого доступа применяется утилита gs-netcat, способная открывать оболочку, передавать файлы и создавать туннели.
Обнаруженный образец заинтересовал специалистов ещё и тем, что антивирусные системы распознают угрозу слабо — на момент анализа срабатывание показали лишь несколько движков. При этом код не содержит обфускации и выглядит так, будто автор проверял его работоспособность перед дальнейшим распространением.
После запуска скрипт загружает клиент GSocket и устанавливает соединение с внешним узлом. Затем вредонос закрепляется в системе сразу несколькими способами. Создаётся задание в cron, которое каждый час перезапускает скрытый процесс. Дополнительно та же команда запуска прописывается в .profile, что обеспечивает повторный запуск при входе пользователя.