-
-
[转帖]Apache利用恶意软件重定向感染用户
-
发表于: 2013-5-5 11:27 2107
-
新闻链接:http://sec.chinabyte.com/173/12606673.shtml
新闻时间:2013-05-03 16:27
新闻正文: 众所周知的Cdorked,被一份ESET调查称为最复杂的Apache 后门病毒之一。
“攻击者使用的是一个复杂并且隐形的恶意软件块,来感染Apache Web服务器。”据ESET安全情报项目经理Pierre-Marc Bureau描述,被称为Linux/Cdorked.A的后门病毒,是“我们见过的最复杂的Apache 后门病毒之一。”
“后门病毒通过复杂的取证分析,可以不留痕迹地依附主机硬盘驱动器,而不是修改httpd的二进制文件。” Bureau在博客中写到,“与后门程序相关的所有信息都存储在共享内存里。攻击者是通过混淆HTTP请求导致不能正常登录Apache日志的方式实现该配置的。这意味着存储系统上的任何地方都没有了命令和控制信息。”
Cdorked利用声名狼藉的入侵工具Blackhole Exploit Kit有计划地向用户推送一个被托管的网站。根据ESET分析,该恶意软件已经入侵了数以百计的Web服务器。
“服务器最初是如何遭受攻击的目前尚不清楚,但其可能遭受过蛮力攻击。”安全公司Sucuri的CTO,Daniel Cid在博客中提到。
“在过去的几个月,我们一直在跟踪利用Apache模块将恶意软件注入网站所进行的服务器级别的破解行为。”他写到。“然而,在过去的几个月里,我们注意到这种注入方式发生了变化。”他补充道,“在cPanel-based服务器上,攻击者试图用恶意软件取代Apache的httpd二进制文件,而不是采用以往的添加模块或者修改Apache配置的方式。”
他指出,就该网站看来,被盗用的二进制文件看起来并没有发生什么变化。但是对于一些随机请求来说——例如每天为每个IP地址增加一个恶意软件重定向,这将与仅仅只是显示内容截然不同。
“重定向后,一个网络跟踪器被设置在客户端上,这样就不能对其再次重定向了。”Bureau解释道,“如果发送一个看起来像是到管理页面的请求,网络跟踪器同样会被设置。当URL,服务器名称或者匹配以下字符*adm*, *webmaster*, *submit*, *stat*, *mrtg*, *webmin*, *cpanel*, *memb*, *bucks*, *bill*, *host*, *secur* 和 *support*backdoor等的用户上线,后门程序将对其进行查找。这样做可能是为了避免向网站的管理员发送恶意内容,从而使得入侵感染难以实现。”
Bureau建议组织对现有的共享内存进行检查以确保他们没有被感染。ESET也发布了免费工具,允许系统管理员对现有的共享内存区域及转存到另一个文件的内容进行验证。
这次是攻击者针对Apache Web服务器进行进行入侵的最新案例。今年早期,研究者发现了恶意程序Darkleech正在活动,它成功的让上千台Web服务器感染并运行了Apache 2.2.2或以上版本。ESET安全传道者Stephen Cobb表示:到目前为止,还没有发现Linux/Cdorked.A和DarkLeech之间有什么联系。
“当攻击者得到完整的访问存储器根目录,他们便可以为所欲为,从修改配置感染模块到替换二进制文件。”Cid博客中提到,“不过他们不断变化的手段使得管理员很难检测到他们的存在。”
新闻时间:2013-05-03 16:27
新闻正文: 众所周知的Cdorked,被一份ESET调查称为最复杂的Apache 后门病毒之一。
“攻击者使用的是一个复杂并且隐形的恶意软件块,来感染Apache Web服务器。”据ESET安全情报项目经理Pierre-Marc Bureau描述,被称为Linux/Cdorked.A的后门病毒,是“我们见过的最复杂的Apache 后门病毒之一。”
“后门病毒通过复杂的取证分析,可以不留痕迹地依附主机硬盘驱动器,而不是修改httpd的二进制文件。” Bureau在博客中写到,“与后门程序相关的所有信息都存储在共享内存里。攻击者是通过混淆HTTP请求导致不能正常登录Apache日志的方式实现该配置的。这意味着存储系统上的任何地方都没有了命令和控制信息。”
Cdorked利用声名狼藉的入侵工具Blackhole Exploit Kit有计划地向用户推送一个被托管的网站。根据ESET分析,该恶意软件已经入侵了数以百计的Web服务器。
“服务器最初是如何遭受攻击的目前尚不清楚,但其可能遭受过蛮力攻击。”安全公司Sucuri的CTO,Daniel Cid在博客中提到。
“在过去的几个月,我们一直在跟踪利用Apache模块将恶意软件注入网站所进行的服务器级别的破解行为。”他写到。“然而,在过去的几个月里,我们注意到这种注入方式发生了变化。”他补充道,“在cPanel-based服务器上,攻击者试图用恶意软件取代Apache的httpd二进制文件,而不是采用以往的添加模块或者修改Apache配置的方式。”
他指出,就该网站看来,被盗用的二进制文件看起来并没有发生什么变化。但是对于一些随机请求来说——例如每天为每个IP地址增加一个恶意软件重定向,这将与仅仅只是显示内容截然不同。
“重定向后,一个网络跟踪器被设置在客户端上,这样就不能对其再次重定向了。”Bureau解释道,“如果发送一个看起来像是到管理页面的请求,网络跟踪器同样会被设置。当URL,服务器名称或者匹配以下字符*adm*, *webmaster*, *submit*, *stat*, *mrtg*, *webmin*, *cpanel*, *memb*, *bucks*, *bill*, *host*, *secur* 和 *support*backdoor等的用户上线,后门程序将对其进行查找。这样做可能是为了避免向网站的管理员发送恶意内容,从而使得入侵感染难以实现。”
Bureau建议组织对现有的共享内存进行检查以确保他们没有被感染。ESET也发布了免费工具,允许系统管理员对现有的共享内存区域及转存到另一个文件的内容进行验证。
这次是攻击者针对Apache Web服务器进行进行入侵的最新案例。今年早期,研究者发现了恶意程序Darkleech正在活动,它成功的让上千台Web服务器感染并运行了Apache 2.2.2或以上版本。ESET安全传道者Stephen Cobb表示:到目前为止,还没有发现Linux/Cdorked.A和DarkLeech之间有什么联系。
“当攻击者得到完整的访问存储器根目录,他们便可以为所欲为,从修改配置感染模块到替换二进制文件。”Cid博客中提到,“不过他们不断变化的手段使得管理员很难检测到他们的存在。”
赞赏
看原图
赞赏
雪币:
留言: