Gafgyt

CH azonosító

CH-11702

Angol cím

Gafgyt

Felfedezés dátuma

2014.10.08.

Súlyosság

Alacsony

Érintett rendszerek

Linux

Érintett verziók

Linux/Unix

Összefoglaló

A Gafgyt trójai hátsó kaput nyit a Linux rendszereken.

Leírás

A Gafgyt trójai a hátsó kapuk létesítésére alkalmas károkozók táborát gyarapítja, azonban egy jellemzőjében nagyon eltér az ilyen trójai programok többségétől. Mégpedig nem a Windows, hanem a Linux operációs rendszerre épülő számítógépeket helyezi célkeresztbe.

A Gafgyt először routing információkat igyekszik megszerezni. A támadás során gyakori felhasználónév/jelszó párokat használ fel. Eközben pedig kapcsolódik egy vezérlőszerverhez, amelyre adatokat tölt fel, illetve különféle parancsokat fogad. A támadók többek között rávehetik hálózati szkennelésekre, és folyamatok leállítására is. Ezáltal a fertőzött rendszereken fennakadásokat idézhetnek elő.

Technikai részletek:

1. Létrehozza a következő állományt:
/proc/net/route

2. Gyakori felhasználónév és jelszó párokkal brute force támadást indít.

3. Csatlakozik előre meghatározott kiszolgálókhoz.

4. A távoli szerverről fogadja az alábbi parancsokat:
PING
GETLOCALIP
SCANNER
HOLD
JUNK
UDP
TCP
KILLATTK
LOLNOGTFO

5. Az alábbi mappából információkat gyűjt össze, amelyeket feltölt a vezérlőszerverére:
/proc/cpuinfo