Összefoglaló
A Gafgyt trójai hátsó kaput nyit a Linux rendszereken.
Leírás
A Gafgyt trójai a hátsó kapuk létesítésére alkalmas károkozók táborát gyarapítja, azonban egy jellemzőjében nagyon eltér az ilyen trójai programok többségétől. Mégpedig nem a Windows, hanem a Linux operációs rendszerre épülő számítógépeket helyezi célkeresztbe.
A Gafgyt először routing információkat igyekszik megszerezni. A támadás során gyakori felhasználónév/jelszó párokat használ fel. Eközben pedig kapcsolódik egy vezérlőszerverhez, amelyre adatokat tölt fel, illetve különféle parancsokat fogad. A támadók többek között rávehetik hálózati szkennelésekre, és folyamatok leállítására is. Ezáltal a fertőzött rendszereken fennakadásokat idézhetnek elő.
Technikai részletek:
1. Létrehozza a következő állományt:
/proc/net/route
2. Gyakori felhasználónév és jelszó párokkal brute force támadást indít.
3. Csatlakozik előre meghatározott kiszolgálókhoz.
4. A távoli szerverről fogadja az alábbi parancsokat:
PING
GETLOCALIP
SCANNER
HOLD
JUNK
UDP
TCP
KILLATTK
LOLNOGTFO
5. Az alábbi mappából információkat gyűjt össze, amelyeket feltölt a vezérlőszerverére:
/proc/cpuinfo
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Privilege escalation (jogosultság kiterjesztés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com