В мире вредоносного программного обеспечения для Linux и UNIX-подобных систем появилась новая угроза, демонстрирующая изощрённый подход к скрытности и закреплению в системе. Речь идёт о сценарии Bash, который устанавливает на компьютер жертвы бэкдор, использующий инфраструктуру GSocket для обхода классических средств защиты. Что делает эту находку особенно интересной для специалистов по информационной безопасности, так это комплексный набор техник противодействия анализу и глубокого закрепления (persistence), реализованных на уровне операционной системы.
Описание
GSocket - это сетевая библиотека и инфраструктура ретрансляции, позволяющая устанавливать прямое, peer-to-peer-подобное соединение между системами с использованием общего секретного ключа, без необходимости знать IP-адреса или открывать порты. Обе стороны подключаются к глобальной ретрансляционной сети, что позволяет обходить межсетевые экраны и системы обнаружения вторжений (IDS), ориентированные на классические модели трафика. Инструмент "gs-netcat", входящий в набор GSocket, может предоставлять злоумышленнику удалённую оболочку, передачу файлов или туннелирование трафика. Обнаруженный вредоносный сценарий использует именно эту утилиту в качестве полезной нагрузки (payload), превращая заражённую систему в управляемый узел.
Исследователь, нашедший образец, отмечает, что несколькими неделями ранее он уже сталкивался с использованием GSocket в качестве канала связи с командным сервером (C2, Command and Control). Это побудило его начать целенаправленный поиск похожих образцов. Результатом стал сценарий с хэшем SHA256 "6ce69f0a0db6c5e1479d2b05fb361846957f5ad8170f5e43c7d66928a43f3286", который на момент обнаружения детектировался лишь 17 антивирусными решениями на VirusTotal. Отсутствие обфускации и наличие комментариев в коде позволяют предположить, что файл мог быть загружен для тестирования самим разработчиком вредоносной программы. При запуске в песочнице сценарий идентифицирует себя как "G-Socket Bypass Stealth" и содержит ссылку на пользователя "@bboscat".
После выполнения сценарий загружает клиент GSocket и начинает общение с определённым IP-адресом в ретрансляционной сети. Однако ключевая опасность заключается не только в самом факте удалённого доступа, а в многоуровневом механизме обеспечения устойчивости. Во-первых, создаётся задание в планировщике cron, которое каждый час в нулевую минуту принудительно перезапускает замаскированный процесс "gs-netcat". Во-вторых, тот же код добавляется в файл ".profile" пользователя, что гарантирует запуск бэкдора при каждом новом входе в оболочку. Для хранения самой вредоносной программы и общего секрета GSocket используются методы маскировки: исполняемый файл (ELF) копируется в каталог ".ssh/putty", а секретный ключ сохраняется в файле, имитирующем SSH-ключ "id_rsa".
Особого внимания заслуживает реализованный в сценарии метод противодействия компьютерно-технической экспертизе. Вместо прямого использования команд файловой системы (вроде "cp", "rm", "touch") автор внедрил сложную систему функций-помощников с отслеживанием и восстановлением временных меток файлов. Как объяснил исследователь, функция "ts_is_marked()" проверяет, зарегистрирован ли файл или каталог для последующего восстановления временной метки. Это предотвращает дублирование отслеживания и обеспечивает корректную работу всего механизма маскировки изменений. Перед любой операцией, меняющей состояние файловой системы, скрипт сохраняет оригинальную временную метку. После выполнения всех необходимых действий функция "ts_restore()" возвращает файлам их исходные временные метки. Эта техника затрудняет обнаружение факта взлома при анализе временных штампов файлов, который часто используется следователями для установления хронологии инцидента.
Угроза носит кроссплатформенный характер. Благодаря тому, что сценарий написан на Bash и содержит логику определения операционной системы, он способен заражать не только различные дистрибутивы Linux, но и системы FreeBSD, OpenBSD и macOS. В коде явно прописаны условия для определения типа ОС через команду "uname -s", что обеспечивает корректную работу на всех перечисленных платформах.
Для специалистов по безопасности данный случай служит важным напоминанием. Угрозы для Linux-систем становятся всё более изощрёнными, имитируя легитимные инструменты и используя легальные сетевые инфраструктуры для скрытия вредоносной активности. В качестве мер защиты эксперты рекомендуют усилить мониторинг исходящих сетевых соединений, особенно на нестандартные облачные сервисы, регулярно проверять задачи cron и автозагрузки на наличие подозрительных записей, а также внедрять решения для контроля целостности файлов (FIM), которые могут помочь выявить несанкционированные изменения, даже если они маскируются под легитимные временные метки. Понимание техник, описанных в этом инциденте, критически важно для построения эффективной обороны от современных сложных угроз.
Индикаторы компрометации
MD5
- d75cb9920d1d3d280518ddccfe4789d2
SHA1
- 18821dbb53892d6faa14b1f063517a0302057290
SHA256
- d94f75a70b5cabaf786ac57177ed841732e62bdcc9a29e06e5b41d9be567bcfa
