Бекдор компрометира десетки Apache сървъри

Компанията за антивирусна и интернет защита ESET съобщава, че е забелязала най-сложната бекдор програма засичана досега. Специалистите от компанията са я открили на стотици уебсървъри Apache. Бекдорът използва модерни техники за засичането, като вероятно е причина за компрометирането на системите на хиляди потребители.

Това, което е основна цел на Linux/Cdorked.A (по дефиниция от антивирусните бази на ESET), разказва Пиер-Марк Буро от ESET е промяна на уебсайтовете, така че потребителите, които ги посещават да бъдат пренасочени към страница, на които е разположен комплектът за експлоатиране на уязвимости Blackhole.

Това, което впечатлява специалистите от компанията е множеството техники, посредством които програмата успява да избегне засичане. Един от основните методи, чрез които Linux/Cdorked.A успява да прикрие дейността си, разказват разработчиците от ESET и колегите им от Succuri е подмяната на httpd файла - daemon-а или услугата ползвана от Apache - с такъв, който съдържа зловреден код. Това е и единствената следа, която оставя заплахата на твърдия диск на компрометирания хост. Linux/Cdorked не записва никакви файлове на диска. Вместо това, той отделя шест мегабайта споделена памет за себе си и информацията свързана с конфигурирането му. Конфигурацията на бекдора бива изпратена от атакуващата страна посредством HTTP-заявки, които са не само замаскирани, но също така и не биват регистрирани от Apache, което прави изключително трудно засичането им посредством традиционните методи и инструменти за това.

Ригард Цвийненберг (Righard Zwienenberg), старши разработчик към ESET разказва, че това, което усложнява анализа на атаката е именно способността на конфигурацията на програмата да бъде запазена в паметта, като прикрива, каквато и да е информация за контролирането й.

В резултат от компрометирането на сайта и съответното пренасочване на жертвата към зловредната страница в браузъра се появява бисквитка, която проверява дали URL адреса или сървърното име съдържат информация, която да показва, че потребителят е администратор. Това, според ESET се прави с цел атакуващата страна да получи уверение, че администратора няма да засече атаката. От компанията допълват, че според тях атаката е насочена само към Apache сървъри, които използват хостинг контролния панел cPanel. Подробна информация може да откриете тук и тук.