Sebuah canggih dan tersembunyi Apache backdoor baru dimaksudkan untuk mengarahkan lalu lintas ke situs-situs berbahaya melayani Blackhole exploit kit secara luas telah terdeteksi oleh Sucuri baru-baru ini. Para peneliti mengklaim bahwa backdoor ini mempengaruhi ratusan server web sekarang.
Disebut Linux / Cdorked.A, salah satu backdoors Apache yang paling canggih yang telah kita lihat sejauh ini. Backdoor tidak meninggalkan jejak host yg dikompromikan pada hard drive selain biner httpd yang dimodifikasi, sehingga menyulitkan analisis forensik. Semua informasi yang berhubungan dengan backdoor disimpan dalam memori bersama.
Konfigurasi didorong oleh penyerang melalui dikaburkan HTTP permintaan yang tidak masuk yang normal Apache log. Server HTTP dilengkapi dengan backdoor connect reverse yang dapat dipicu melalui HTTP GET request khusus. Ini berarti bahwa ada perintah dan kontrol informasi yang disimpan di mana saja pada sistem.
Peneliti ESET menganalisis biner dan menemukan backdoor jahat tersembunyi. Dalam Linux / Cdorked biner semua penting dan mencurigakan, string dienkripsi dan versi dianalisis berisi total 70 string yang dikodekan dengan cara ini.
Backdoor akan memeriksa jika URL, nama server, atau pengarah cocok salah satu string berikut:‘*adm*’, ‘*webmaster*’, ‘*submit*’, ‘*stat*’, ‘*mrtg*’, ‘*webmin*’, ‘*cpanel*’, ‘*memb*’, ‘*bucks*’, ‘*bill*’, ‘*host*’, ‘*secur*’, ‘*support*’. ini mungkin dilakukan untuk menghindari mengirimkan konten berbahaya ke administrator website, membuat infeksi lebih sulit untuk spot.
Para peneliti juga menemukan 23 perintah di Linux / Cdorked.A yang dapat dikirim ke server melalui POST ke URL yaitu dibuat khusus. daftar perintah: ‘DU’, ‘ST’, ‘T1′, ‘L1′, ‘D1′, ‘L2′, ‘D2′, ‘L3′, ‘D3′, ‘L4′, ‘D4′, ‘L5′, ‘D5′, ‘L6′, ‘D6′, ‘L7′, ‘D7′, ‘L8′, ‘D8′, ‘L9′, ‘D9′, ‘LA’, ‘DA’.
IKetika penyerang mendapatkan akses root penuh ke server, mereka dapat melakukan apapun yang mereka inginkan. Dari konfigurasi memodifikasi, untuk menyuntikkan modul dan mengganti binari.
Disebut Linux / Cdorked.A, salah satu backdoors Apache yang paling canggih yang telah kita lihat sejauh ini. Backdoor tidak meninggalkan jejak host yg dikompromikan pada hard drive selain biner httpd yang dimodifikasi, sehingga menyulitkan analisis forensik. Semua informasi yang berhubungan dengan backdoor disimpan dalam memori bersama.
Konfigurasi didorong oleh penyerang melalui dikaburkan HTTP permintaan yang tidak masuk yang normal Apache log. Server HTTP dilengkapi dengan backdoor connect reverse yang dapat dipicu melalui HTTP GET request khusus. Ini berarti bahwa ada perintah dan kontrol informasi yang disimpan di mana saja pada sistem.
Peneliti ESET menganalisis biner dan menemukan backdoor jahat tersembunyi. Dalam Linux / Cdorked biner semua penting dan mencurigakan, string dienkripsi dan versi dianalisis berisi total 70 string yang dikodekan dengan cara ini.
Backdoor akan memeriksa jika URL, nama server, atau pengarah cocok salah satu string berikut:‘*adm*’, ‘*webmaster*’, ‘*submit*’, ‘*stat*’, ‘*mrtg*’, ‘*webmin*’, ‘*cpanel*’, ‘*memb*’, ‘*bucks*’, ‘*bill*’, ‘*host*’, ‘*secur*’, ‘*support*’. ini mungkin dilakukan untuk menghindari mengirimkan konten berbahaya ke administrator website, membuat infeksi lebih sulit untuk spot.
Para peneliti juga menemukan 23 perintah di Linux / Cdorked.A yang dapat dikirim ke server melalui POST ke URL yaitu dibuat khusus. daftar perintah: ‘DU’, ‘ST’, ‘T1′, ‘L1′, ‘D1′, ‘L2′, ‘D2′, ‘L3′, ‘D3′, ‘L4′, ‘D4′, ‘L5′, ‘D5′, ‘L6′, ‘D6′, ‘L7′, ‘D7′, ‘L8′, ‘D8′, ‘L9′, ‘D9′, ‘LA’, ‘DA’.
IKetika penyerang mendapatkan akses root penuh ke server, mereka dapat melakukan apapun yang mereka inginkan. Dari konfigurasi memodifikasi, untuk menyuntikkan modul dan mengganti binari.
0komentar:
Post a Comment