Összefoglaló
A Groundhog trójai a Linux alapú számítógépekre nézve jelent veszélyt. Elsősorban azáltal, hogy azokon egy hátsó kaput létesít, amin keresztül fogadja a terjesztői által kiadott parancsokat. A kártékony program ilyen módon egyebek mellett fájlok letöltésére, folyamatok leállítására, fájlok törlésére és egyéb parancsok végrehajtására is utasítható. Emellett távolról törölhető abban az esetben, ha a nyomokat gyorsan akarják eltüntetni a csalók.
A Groundhog nem kizárólag hátsó kapu kiépítéséből veszi ki a részét. Emellett adatlopásban is szerepet tud vállalni. A jelenlegi variánsa elsősorban rendszerinformációkat gyűjt össze, illetve szivárogtat ki a támadók számára, akik ezáltal pontosan felmérhetik, hogy a szerzeményük milyen erőforrásokkal rendelkező rendszerre jutott fel.
Leírás
1. Létrehozza a következő állományt:
/tmp/[véletlenszerű karakterek]
2. Kapcsolódik egy előre meghatározott távoli kiszolgálóhoz.
3. Egy hátsó kaput létesít az alábbi portok egyikének felhasználásával:
- 22
- 53
- 80
- 443
- 1433
- 1521
- 3306
4. Rendszerinformációkat gyűjt össze.
5. Várakozik a támadók parancsaira, amiket rögtön végrehajt.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
- Használjon offline biztonsági mentést!
Támadás típusa
Information disclosure (Információ/adat szivárgás)Trójai
backdoor
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu
