Εμπειρογνώμονες ασφαλείας εντόπισαν ένα άλλο κακόβουλο backdoor για Apache που χρησιμοποιείται από τους επιτιθέμενους για να ανακατευθύνουν τα θύματα τους σε κακόβουλες ιστοσελίδες τους.
Σύμφωνα με τους εμπειρογνώμονες από την εταιρεία ασφαλείας Sucuri, οι επιτιθέμενοι αντικαθιστούν το Apache binary (httpd) με ένα κακόβουλο. Αυτό μπορεί να γίνει ΜΟΝΟ σε servers που χρησιμοποιούν cPanel και όχι σε άλλους που έχουν εγκαταστήσει τον Apache σαν standalone εφαρμογή. Σε παλαιότερες επιθέσεις, τα injections γινόταν με την προσθήκη νέων ενοτήτων ή τροποποιώντας το Apache config.
Η εταιρεία ασφαλείας ESET ανέλυσε επίσης το backdoor, το οποία ονόμασε Linux/Cdorked.A και αναφέρει ότι το Cdorked.A είναι το πιο εξελιγμένο Apache backdoor που έχει αναλυθεί ποτέ.
“Το backdoor δεν αφήνει ίχνη από ¨πειραγμένα” hosts στο σκληρό δίσκο εκτός από το τροποποιημένο binary httpd του, περιπλέκοντας έτσι την ανάλυση. Όλες οι πληροφορίες που σχετίζονται με το backdoor αποθηκεύονται σε κοινόχρηστη μνήμη (shared memory), ” αναφέρει ο Pierre-Marc της ESET σε μια δημοσίευση στο blog του.
“Οι ρυθμίσεις του Apacheδίνονται από τον εισβολέα μέσω ασαφή αιτήματα HTTP τα οποία δεν έχουν καμία σύνδεση με τα logs του Apache. Αυτό σημαίνει ότι καμία εντολή και καμία πληροφορία ελέγχου δεν αποθηκεύεται οπουδήποτε μέσα στο σύστημα. ”
Οι ειδικοί λένε ότι οι εκατοντάδες servers ήδη έχουν παραβιαστεί, και ότι οι επιτιθέμενοι μπορούν να κάνουν ό, τι θέλουν μαζί τους.
“Όταν οι επιτιθέμενοι αποκτήσουν πλήρη πρόσβαση root στον server, μπορούν να κάνουν ό, τι θέλουν. Από τροποποίηση αρχείων, injecting, ή αντικατάσταση των binaries. Ωστόσο, οι τακτικές τους αλλάζουν για να κάνουν ακόμη πιο δύσκολο για τους admins να ανιχνεύσουν την παρουσία τους, ” αναφέρει ο Daniel Cid, CTO της Sucuri.
Ευτυχώς, υπάρχουν μερικοί τρόποι με τους οποίους οι διαχειριστές μπορούν να εντοπίσουν και να καθαρίσουν το κακόβουλο λογισμικό.
Η ESET παρέχει δωρεάν στους διαχειριστές ένα εργαλείο που επαληθεύει την παρουσία του αναζητώντας το στο shared memory.
