ESET-Sucuri: Επικινδυνο Backdoor απειλει χιλιαδες Web Sites

Οι ερευνητές της ESET, σε συνεργασία με συναδέλφους τους στην εταιρεία web security Sucuri, προχώρησαν στην ανάλυση μίας νέας απειλής που στοχεύει σε Apache webservers, τους πλέον διαδεδομένους webservers παγκοσμίως. Πρόκειται για ένα προηγμένο και επικίνδυνο backdoor που εισάγει κακόβουλο περιεχόμενο σε ιστοσελίδες που φιλοξενούνται σε μολυσμένο web server με τη χρήση πακέτων “Blackhole exploit”. Οι ερευνητές έδωσαν στο backdoor την ονομασία Linux/Cdorked.A και θεωρούν ότι αποτελεί το πιο πολύπλοκο backdoor που έχει επιτεθεί σε Apache ποτέ.

Μέχρι σήμερα, οι ερευνητές της ESET έχουν εντοπίσει εκατοντάδες webservers που έχουν δεχθεί επίθεση. Το backdoor Linux/Cdorked.A δεν αφήνει ίχνη στον σκληρό δίσκο εκτός από ένα τροποποιημένο αρχείο “httpd”, το πρόγραμμα ρουτίνας που χρησιμοποιείται από τον Apache. Όλες οι σχετικές με το backdoor πληροφορίες αποθηκεύονται στην κοινόχρηστη μνήμη του server, γεγονός που καθιστά δύσκολη την ανίχνευσή τους και παρεμποδίζει την ανάλυσή τους.

Παράλληλα, το Linux/Cdorked.A παίρνει και άλλα μέτρα για να μειώσει τις πιθανότητες εντοπισμού του, τόσο σε επίπεδο παραβιασμένου webserver όσο και σε web browsers των επισκεπτών υπολογιστών. Οι ενδείξεις του backdoor στέλνονται με τη χρήση αιτημάτων HTTP requests, που όχι μόνο είναι ασαφή, αλλά επιπλέον δεν καταγράφονται από τον Apache, με αποτέλεσμα να μειώνεται η πιθανότητα ανίχνευσης από συμβατικά εργαλεία παρακολούθησης. Οι ενδείξεις αποθηκεύονται στη μνήμη, οπότε δεν είναι ορατή καμία πληροφορία εντολών και ελέγχου για το backdoor, με αποτέλεσμα η ανάλυση των απειλών να γίνεται περίπλοκη.

Ένα δωρεάν εργαλείο ανίχνευσης, λεπτομερείς οδηγίες για τον ακριβή τρόπο ελέγχου του backdoor καθώς και μία πλήρης τεχνική ανάλυση του Linux/Cdorked.A διατίθενται στο Linux/Cdorked blog post.

Related Posts