Опасность: исходники tcpdump и libpcap могут содержать троянца

15 ноября 2002
[15.11.2002]
Всего месяц тому назад мы сообщали о компьютерной атаке на сайт Sendmail и вот новое нападение. На этот раз жертвой неизвестных злоумышленников стал сайт www. tcpdump.org, распространяющий утилиты tcpdump и libpcap, в исходный код которых оказался имплантированным вредоносный троянский код.

Вторжение на сервер было осуществлено в 9-10 ноября, скорее всего из Финляндии. Проблема с исходниками дистрибутивов оставалась незамеченной в течение более двух суток, и только к вечеру среды, 13 ноября, сервер был остановлен для предотвращения дальнейшего распространения зараженных троянцем копий. Однако, это лишь в некоторой мере смогло остановить распространение инфицированных копий дистрибутивов, т.к. некоторые сайты, в силу существующей практики зеркалирования, уже успели загрузить зараженные пакеты с основного сервера. Число их в настоящее время неустановлено, известно лишь, что некоторые вендоры уже подтвердили наличие на их сайтах аналогичным образом зараженных копий.

13 ноября 2002 г. координационный центр Computer Emergency Response Team (CERT/CC) при Университете Carnegie Mellon распространил заявление, в котором содержится предупреждение об обнаружении в некоторых версиях утилит tcpdump и libpcap троянского компонента. Изменения были внесены в исходный код данных программ, и, начиная с утра 11 ноября, в исходниках на сайте www. tcpdump.org содержалась троянская программа – шпион.


Модификации были подвергнуты следующие дистрибутивы
tcpdump

md5sum 3a1c2dd3471486f9c7df87029bf2f1e9 tcpdump-3.6.2.tar.gz 
md5sum 3c410d8434e63fb3931fe77328e4dd88 tcpdump-3.7.1.tar.gz
libpcap
md5sum 73ba7af963aff7c9e23fa1308a793dca libpcap-0.7.1.tar.gz
Tcpdump - утилита, используемая операционными системами Unix для мониторинга, или, другими словами, сниффинга, пассивного прослушивания в сети данных. Libpcap является библиотекой, которая помогает программистам писать программы для перехвата данных в сети на различных платформах.

Зараженная троянцем версия исходного текста tcpdump содержит вредоносный код, который приводится в действие при компилировании программы. Будучи активированным, троянец предпринимает попытки установить соединение с портом 80/tcp (через wget, lynx или fetch) для последующей загрузки shell - скрипта под названием services, который в последствии запускается и генерирует файл conftes.c, который компилируется и запускается на пораженной машине. После запуска conftes.c устанавливает соединение в определенным IP-адресом через порт 1963/tcp и считывает с него один единственный байт, три значения которого обуславливают исполнение троянцем различных команд:

  • 'A' - завершает работу троянца
  • 'D' - вызывает программу-оболочку и перенаправляет на соединение с IP -адресом
  • 'M' - заставляет троянца закрыть соединение и ожидать в течение 3600 секунд
  • Шпионский компонент conftes.c предоставляет хакеру возможность посылать и приводить в действие разнообразные команды на компьютерах, на которых установлена такая модифицированная утилита. В результате проникновения в систему троянца злоумышленник получает несанкционированный удаленный доступ к компьютеру и наделяет хакера таким же правами, какими обладает его пользователь. Таким образом, агрессор получает удаленный контроль над системой и может производить в ней различные несанкционированные действия на правах ее пользователя.

    Для того, чтобы обезопасить себя от загрузки возможно зараженных версий дистрибутивов, ЗАО "ДиалогНаука" настоятельно советует пользователям загрузить гарантированно неинфицированные троянцем версии программ с рекомендуемых разработчиком сайтов:
    http://sourceforge.net/projects/tcpdump/
    http://sourceforge.net/projects/libpcap/

    Так как размера загруженного файла и времени его загрузки недостаточно для того, чтобы быть абсолютно уверенным в получении чистой копии программы, проверьте криптографическую PGP - подпись программ. При отсутствии PGP - подписи целостность программы можно проверить с помощью контрольной суммы MD5.
    tcpdump

    md5sum 03e5eac68c65b7e6ce8da03b0b0b225e tcpdump-3.7.1.tar.gz

    libpcap
    md5sum 0597c23e3496a5c108097b2a0f1bd0c7 libpcap-0.7.1.tar.gz
    9
    ;