Η ESET και η Sucuri ανακαλύπτουν το πιο επικίνδυνο Backdoor
09:54 9/5/2013
- Πηγή: PC Nea
Οι ερευνητές της ESET, σε συνεργασία με τους συναδέλφους τους στην εταιρία web security Sucuri, προχώρησαν στην ανάλυση μίας νέας απειλής που στοχεύει σε Apache webservers, τους γνωστότερους και πλέον διαδεδομένους webservers παγκοσμίως.
Πρόκειται για ένα εξαιρετικά προηγμένο και επικίνδυνο backdoor που εισάγει κακόβουλο περιεχόμενο σε ιστοσελίδες που φιλοξενούνται
σε μολυσμένο web server με τη χρήση πακέτων «Blackhole exploit». Οι ερευνητές έδωσαν στο backdoor την ονομασία Linux/Cdorked.A και θεωρούν ότι αποτελεί το πιο πολύπλοκο backdoor που έχει επιτεθεί σε Apache ποτέ.
Μέχρι σήμερα, οι ερευνητές της ESET έχουν εντοπίσει χάρη στην τεχνολογία ESET LiveGrid® εκατοντάδες webservers που έχουν δεχθεί επίθεση. «Το backdoor Linux/Cdorked.A δεν αφήνει ίχνη στον σκληρό δίσκο εκτός από ένα τροποποιημένο αρχείο "httpd", το πρόγραμμα ρουτίνας που χρησιμοποιείται από τον Apache. Όλες οι σχετικές με το backdoor πληροφορίες αποθηκεύονται στην κοινόχρηστη μνήμη του server, γεγονός που καθιστά δύσκολη την ανίχνευσή τους και παρεμποδίζει την ανάλυσή τους», σημειώνει ο Pierre-Marc Bureau, Security Intelligence Program Manager της ESET.
Παράλληλα, το Linux/Cdorked.A παίρνει και άλλα μέτρα για να μειώσει τις πιθανότητες εντοπισμού του, τόσο σε επίπεδο παραβιασμένου webserver όσο και σε web browsers των επισκεπτών υπολογιστών.
«Οι ενδείξεις του backdoor στέλνονται με τη χρήση αιτημάτων HTTP requests, που όχι μόνο είναι ασαφή, αλλά επιπλέον δεν καταγράφονται από τον Apache, με αποτέλεσμα να μειώνεται η πιθανότητα ανίχνευσης από συμβατικά εργαλεία παρακολούθησης. Οι ενδείξεις αποθηκεύονται στη μνήμη, οπότε δεν είναι ορατή καμία πληροφορία εντολών και ελέγχου για το backdoor, με αποτέλεσμα η ανάλυση των απειλών να γίνεται περίπλοκη», συμπληρώνει ο Righard Zwienenberg, Senior Researcher Fellow.
Το «Blackhole exploit kit» αποτελεί ένα δημοφιλές και διαδεδομένο πακέτο που χρησιμοποιεί καινούρια και παλιότερα exploits, για να αποκτήσει τον έλεγχο του συστήματος κατά την επίσκεψη ενός site που έχει παραβιαστεί και μολυνθεί από το «Blackhole kit». Όταν κάποιος επισκέπτεται ένα παραβιασμένο webserver, δεν θα ανακατευθυνθεί απλά σε ένα κακόβουλο website – έχει ενεργοποιηθεί ένα web cookie στον browser ώστε το backdoor να μην τον στείλει ξανά εκεί για δεύτερη φορά.
Το web cookie δεν βρίσκεται στις σελίδες του διαχειριστή: το backdoor ελέγχει το πεδίο «referrer» του επισκέπτη και αν ανακατευθυνθεί στην ιστοσελίδα από ένα URL με συγκεκριμένα key words όπως "admin" ή "cpanel", δεν υπάρχει κίνδυνος μετάδοσης κακόβουλου περιεχομένου.
Η ESET παροτρύνει τους διαχειριστές να ελέγχουν τους servers για να διαπιστώσουν αν έχουν μολυνθεί από αυτή την απειλή. Ένα δωρεάν εργαλείο ανίχνευσης, λεπτομερείς οδηγίες για τον ακριβή τρόπο ελέγχου του backdoor καθώς και μία πλήρης τεχνική ανάλυση του Linux/Cdorked.A διατίθενται στο WeLiveSecurity.com – τη νέα πλατφόρμα της ESET με τις πρόσφατες πληροφορίες και αναλύσεις για κυβερνοαπειλές και χρήσιμες συμβουλές ασφαλείας
Πρόκειται για ένα εξαιρετικά προηγμένο και επικίνδυνο backdoor που εισάγει κακόβουλο περιεχόμενο σε ιστοσελίδες που φιλοξενούνται
Μέχρι σήμερα, οι ερευνητές της ESET έχουν εντοπίσει χάρη στην τεχνολογία ESET LiveGrid® εκατοντάδες webservers που έχουν δεχθεί επίθεση. «Το backdoor Linux/Cdorked.A δεν αφήνει ίχνη στον σκληρό δίσκο εκτός από ένα τροποποιημένο αρχείο "httpd", το πρόγραμμα ρουτίνας που χρησιμοποιείται από τον Apache. Όλες οι σχετικές με το backdoor πληροφορίες αποθηκεύονται στην κοινόχρηστη μνήμη του server, γεγονός που καθιστά δύσκολη την ανίχνευσή τους και παρεμποδίζει την ανάλυσή τους», σημειώνει ο Pierre-Marc Bureau, Security Intelligence Program Manager της ESET.
Παράλληλα, το Linux/Cdorked.A παίρνει και άλλα μέτρα για να μειώσει τις πιθανότητες εντοπισμού του, τόσο σε επίπεδο παραβιασμένου webserver όσο και σε web browsers των επισκεπτών υπολογιστών.
«Οι ενδείξεις του backdoor στέλνονται με τη χρήση αιτημάτων HTTP requests, που όχι μόνο είναι ασαφή, αλλά επιπλέον δεν καταγράφονται από τον Apache, με αποτέλεσμα να μειώνεται η πιθανότητα ανίχνευσης από συμβατικά εργαλεία παρακολούθησης. Οι ενδείξεις αποθηκεύονται στη μνήμη, οπότε δεν είναι ορατή καμία πληροφορία εντολών και ελέγχου για το backdoor, με αποτέλεσμα η ανάλυση των απειλών να γίνεται περίπλοκη», συμπληρώνει ο Righard Zwienenberg, Senior Researcher Fellow.
Το «Blackhole exploit kit» αποτελεί ένα δημοφιλές και διαδεδομένο πακέτο που χρησιμοποιεί καινούρια και παλιότερα exploits, για να αποκτήσει τον έλεγχο του συστήματος κατά την επίσκεψη ενός site που έχει παραβιαστεί και μολυνθεί από το «Blackhole kit». Όταν κάποιος επισκέπτεται ένα παραβιασμένο webserver, δεν θα ανακατευθυνθεί απλά σε ένα κακόβουλο website – έχει ενεργοποιηθεί ένα web cookie στον browser ώστε το backdoor να μην τον στείλει ξανά εκεί για δεύτερη φορά.
Το web cookie δεν βρίσκεται στις σελίδες του διαχειριστή: το backdoor ελέγχει το πεδίο «referrer» του επισκέπτη και αν ανακατευθυνθεί στην ιστοσελίδα από ένα URL με συγκεκριμένα key words όπως "admin" ή "cpanel", δεν υπάρχει κίνδυνος μετάδοσης κακόβουλου περιεχομένου.
Η ESET παροτρύνει τους διαχειριστές να ελέγχουν τους servers για να διαπιστώσουν αν έχουν μολυνθεί από αυτή την απειλή. Ένα δωρεάν εργαλείο ανίχνευσης, λεπτομερείς οδηγίες για τον ακριβή τρόπο ελέγχου του backdoor καθώς και μία πλήρης τεχνική ανάλυση του Linux/Cdorked.A διατίθενται στο WeLiveSecurity.com – τη νέα πλατφόρμα της ESET με τις πρόσφατες πληροφορίες και αναλύσεις για κυβερνοαπειλές και χρήσιμες συμβουλές ασφαλείας
Keywords
eset, eset, web, security, apache, server, μνήμη, browsers, http, site, browser, url, key, νέα, ξανα, μνήμη, δωρεαν, εργαλεια, ιχνη, προγραμμα, url, απλα, βρισκεται, γεγονος, γινεται, υπαρχει, εταιρια, τεχνολογια, πεδιο, πιθανοτητες, σελιδες, συγκεκριμενα, φορα, apache, browser, browsers, security, http, web, server, key, πακετο, πληροφοριες, site
Τυχαία Θέματα
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Τεχνολογία
- Το Facebook προσαρμόζεται στα κινητά τηλέφωνα ή το αντίθετο;
- Τα Πρώτα Windows 8.1 Θα Κυκλοφορήσουν Τον Ιούνιο
- Η Microsoft Έχει Πουλήσει 100 Εκατομμύρια Άδειες Για Windows 8
- η πρώτη φωτογραφία για το επερχόμενο LG Nexus 5!
- 1.3 εκ. λιγότερους συνδρομητές το WoW
- Όλες οι δημοφιλείς εφαρμογές της Adobe στο Creative Cloud
- Η ESET και η Sucuri ανακαλύπτουν το πιο επικίνδυνο Backdoor
- Νωρίτερα θα έρθει το Leisure Suit Larry Reloaded: στις 31 Μαΐου
- Έρχεται το τελευταίο PES League της χρονιάς
- Δημοφιλέστερες Ειδήσεις PC Nea
- Τελευταία Νέα PC Nea
- Η ESET και η Sucuri ανακαλύπτουν το πιο επικίνδυνο Backdoor
- iPhone/iPad app of the day: GreekMemory
- First look: The VAIO Fit
- Android app of the day: Test Your English
- Η UltraWide 21:9 οθόνη της Philips ήρθε για να μαγέψει
- H LG παρουσιάζει τo νέο LG Optimus L7II
- EMC Community network
- EuRuKo 2013 Athens
- Βγάλτε τους περιττούς από τις φωτογραφίες σας
- Διευθετώντας τις προκλήσεις του ROI για το cloud και το mobility
- Τελευταία Νέα Κατηγορίας Τεχνολογία
- 1.3 εκ. λιγότερους συνδρομητές το WoW
- Το Facebook προσαρμόζεται στα κινητά τηλέφωνα ή το αντίθετο;
- Νωρίτερα θα έρθει το Leisure Suit Larry Reloaded: στις 31 Μαΐου
- Review: Dragon's Dogma: Dark Arisen
- Η Microsoft Έχει Πουλήσει 100 Εκατομμύρια Άδειες Για Windows 8
- Το Netflix “σκοτώνει” την πειρατεία
- Coolermaster: ανακοίνωσε τα κουτιά Ν200, Ν400 και Ν600
- Samsung: ετοιμάζει το Galaxy S IV Zoom
- Τα Πρώτα Windows 8.1 Θα Κυκλοφορήσουν Τον Ιούνιο
- H Microsoft παραδέχεται πως οι πελάτες δεν κατανοούν το Windows RT