Η ESET και η Sucuri ανακαλύπτουν το Linux/Cdorked.A

Το πιο επικίνδυνο Backdoor που έχει επιτεθεί σε Apache Webservers και απειλεί χιλιάδες Web Sites.

Δελτίο Τύπου

Οι ερευνητές της ESET, σε συνεργασία με τους συναδέλφους τους στην εταιρία web security Sucuri, προχώρησαν στην ανάλυση μίας νέας απειλής που στοχεύει σε Apache webservers, τους γνωστότερους και πλέον διαδεδομένους webservers παγκοσμίως. Πρόκειται για ένα εξαιρετικά προηγμένο και επικίνδυνο backdoor που εισάγει κακόβουλο περιεχόμενο σε ιστοσελίδες που φιλοξενούνται σε μολυσμένο web server με τη χρήση πακέτων «Blackhole exploit». Οι ερευνητές έδωσαν στο backdoor την ονομασία Linux/Cdorked.A και θεωρούν ότι αποτελεί το πιο πολύπλοκο backdoor που έχει επιτεθεί σε Apache ποτέ.

Μέχρι σήμερα, οι ερευνητές της ESET έχουν εντοπίσει χάρη στην τεχνολογία ESET LiveGrid® εκατοντάδες webservers που έχουν δεχθεί επίθεση. «Το backdoor Linux/Cdorked.A δεν αφήνει ίχνη στον σκληρό δίσκο εκτός από ένα τροποποιημένο αρχείο "httpd", το πρόγραμμα ρουτίνας που χρησιμοποιείται από τον Apache. Όλες οι σχετικές με το backdoor πληροφορίες αποθηκεύονται στην κοινόχρηστη μνήμη του server, γεγονός που καθιστά δύσκολη την ανίχνευσή τους και παρεμποδίζει την ανάλυσή τους», σημειώνει ο Pierre-Marc Bureau, Security Intelligence Program Manager της ESET.

Παράλληλα, το Linux/Cdorked.A παίρνει και άλλα μέτρα για να μειώσει τις πιθανότητες εντοπισμού του, τόσο σε επίπεδο παραβιασμένου webserver όσο και σε web browsers των επισκεπτών υπολογιστών. «Οι ενδείξεις του backdoor στέλνονται με τη χρήση αιτημάτων HTTP requests, που όχι μόνο είναι ασαφή, αλλά επιπλέον δεν καταγράφονται από τον Apache, με αποτέλεσμα να μειώνεται η πιθανότητα ανίχνευσης από συμβατικά εργαλεία παρακολούθησης. Οι ενδείξεις αποθηκεύονται στη μνήμη, οπότε δεν είναι ορατή καμία πληροφορία εντολών και ελέγχου για το backdoor, με αποτέλεσμα η ανάλυση των απειλών να γίνεται περίπλοκη», συμπληρώνει ο Righard Zwienenberg, Senior Researcher Fellow.

Το «Blackhole exploit kit» αποτελεί ένα δημοφιλές και διαδεδομένο πακέτο που χρησιμοποιεί καινούρια και παλιότερα exploits, για να αποκτήσει τον έλεγχο του συστήματος κατά την επίσκεψη ενός site που έχει παραβιαστεί και μολυνθεί από το «Blackhole kit». Όταν κάποιος επισκέπτεται ένα παραβιασμένο webserver, δεν θα ανακατευθυνθεί απλά σε ένα κακόβουλο website – έχει ενεργοποιηθεί ένα web cookie στον browser ώστε το backdoor να μην τον στείλει ξανά εκεί για δεύτερη φορά. Το web cookie δεν βρίσκεται στις σελίδες του διαχειριστή: το backdoor ελέγχει το πεδίο «referrer» του επισκέπτη και αν ανακατευθυνθεί στην ιστοσελίδα από ένα URL με συγκεκριμένα key words όπως "admin" ή "cpanel", δεν υπάρχει κίνδυνος μετάδοσης κακόβουλου περιεχομένου.

Η ESET παροτρύνει τους διαχειριστές να ελέγχουν τους servers για να διαπιστώσουν αν έχουν μολυνθεί από αυτή την απειλή. Ένα δωρεάν εργαλείο ανίχνευσης, λεπτομερείς οδηγίες για τον ακριβή τρόπο ελέγχου του backdoor καθώς και μία πλήρης τεχνική ανάλυση του Linux/Cdorked.A διατίθενται στο WeLiveSecurity.com – τη νέα πλατφόρμα της ESET με τις πρόσφατες πληροφορίες και αναλύσεις για κυβερνοαπειλές και χρήσιμες συμβουλές ασφαλείας – Linux/Cdorked blog post.