Avansert trojaner angriper Linux-tjenere

En avansert trojaner, døpt "Lion", er avslørt under angrep mot Linux-tjenere med den kjente BIND-sårbarheten. Den stjeler passord og oppretter bakdør, advarer SANS Institute.

SANS Institute er et nettverk av nærmere et hundre tusen driftsledere og sikkerhetseksperter som advarer hverandre og offentligheten om aktuelle sikkerhetstrusler mot datanettverk. Det driver Global Incident Analysis Center (GIAC) der det rapporteres om viktige funn.

Fredag kveld norsk tid advarte SANS og det FBI-drevne National Infrastructure Protection Center (NIPC) at en avansert trojaner er i ferd med å vilkårlig teste ut Linux-tjenere for den kjente BIND-sårbarheten som det ble advart om i slutten av januar i år, og som det viser seg at mange nettsteder, blant annet norske nettbanker, ikke har gardert seg mot ennå.


Ifølge SANS og NIPC spres Lion gjennom en applikasjon kalt randb. Denne skanner vilkårlige nettverk gjennom TCP port 53 for å sjekke om domenenavnhåndteringen lider av den sårbarheten som ble poengtert i januar, og som kan unngås ved en oppgardering fra BIND 8.2 til BIND 8.3. Foreløpig er det bare Linux-servere som rammes. SANS advarer at det skal en minimal endring av randb for at også ulike Unix-systemer blir like utsatt.

Hvis serveren er sårbar, installeres en egen "rootkit" kalt t0rn. Deretter skjer blant annet følgende: Innholdet i mappene /etc/passwd (altså der passord oppbevares) og /etc/shadow, samt flere nettverksinnstillinger sendes til en adresse i domenet china.com. Mappen /etc/hosts.deny slettes. Det opprettes en bakdør på to porter. Syslogd "drepes" slik at loggingen på systemet blir upålitelig. Det gjennomføres en rekke grep for å gjemme t0rn-kittet.

Ifølge NIPC installeres også DDoS-klienten "Tribe Flood Network" (tfn2k).

Det kan være svært vanskelig å oppdage denne trojaneren på egen hånd. Følgelig anbefales det å laste ned programmet "Lionfind" som et SANS-medlem har lagt ut på SANSs nettsted. (Gå til "ALERT: New Linux Worm" eller "Today's GIAC Detects" og se etter "Lion Worm" i spalten til høyre.) Per mandag morgen norsk tid kan ikke Lionfind gjøre annet enn å avdekke om Lion har infisert eller ikke. SANS sier de vil oppgradere Lionfind til også å slette Lion, straks de finner ut hvordan det kan gjøres. Imens må du følge instruksene som er lagt ut.

Det anbefales videre - igjen - å oppgradere til BIND 8.3 der sårbarheten er slettet. Oppgraderinger kan blant annet hentes fra Computer Emergency Response Team.

For å avsløre "Tribe Flood Network", kan NIPC-programmet find_ddos nyttes.

Lion betraktes som en mutasjon av Ramen-ormen. Den karakteriseres som langt mer alvorlig, og langt mer vidtrekkende, blant annet fordi den ikke nøyer seg med Red Hat Linux.

Til toppen