Sofistikovaný backdoor se specializuje na webservery Apache

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Batou
Datum: 14.5.2013
Hodnocení/Hlasovalo: 0/0

Zaměstnanci firmy ESET a Sucuri společnými silami analyzují nedávnou novou hrozbu, ohrožující tisíce serverů běžících na Apache. Jedná se o velmi sofistikovaný backdoor, kterému dali jméno Linux/Cdorked.A (https://www.virustotal.com/en/file/7b3cd8c1bd0249df458084f28d91648ad14e1baf455fdd53b174481d540070c6/analysis/) a je prý nejdůmyslnější Apache backdoor, se kterým se kdy setkali. Hackeři ho využívají k tomu, aby přesměrovali internetového uživatele na škodlivé stránky infikované Blackhole exploit sadou. O té Righard Zwienenberg z ESETu říká: „Jde o známou a rozšířenou sadu, která k infikování systému uživatele během jeho návštevy postižené webové stránky používá známé ale i nové exploity, které jsou součástí Blackholu.“ Do dnešního dne identifikovali zásluhou technologie Eset LiveGrid stovky kompromitovaných webových serverů. „Kromě modifikovaného „httpd“ souboru (Apache webserveru) po sobě Linux/Cdorked.A na hard-disku nezanechává žádné stopy. Všechny informace související s backdoorem jsou uloženy ve sdílené paměti serveru, kvůli čemuž je jeho detekce a analýza mnohem komplikovanější,“ říká Pierre-Marc Bureau, další výzkumník společnosti ESET. Zajímavostí je, že backdoor nekontaktuje svůj vzdálený řídící server aktivně, ale akceptuje příkazy z jakéhokoli serveru pomocí protokolu HTTP. Další fakt snižující možnost jeho odhalení je to, že uživatelům prezentuje škodlivý kód jen výjimečně. ESET vytvořil pro administrátory nástroj, který jim má pomoci s detekcí Linux/Cdorked.A (http://www.welivesecurity.com/2013/04/26/linuxcdorked-new-apache-backdoor-in-the-wild-serves-blackhole/). Více infa také na webu firmy Sucuri (http://blog.sucuri.net/2013/04/apache-binary-backdoors-on-cpanel-based-servers.html).