ESET descobre nova ameaça dirigida aos servidores Apache

7656
0
Share:

Os investigadores da ESET, em colaboração com a empresa de segurança Sucuri, descobriram uma nova ameaça que ataca os servidores web baseados em Apache, amplamente utilizados em todo o mundo.

Esta ameaça consiste numa backdoor muito avançada e que é utilizada para conduzir tráfego para sites maliciosos que possuem pacotes de exploits Blackhole. Os investigadores baptizaram esta ameaça com o nome, Linux/Cdorked.A, sendo a backdoor para Apache mais sofisticada até à data.

Até agora, os investigadores da ESET já identificaram centenas de servidores comprometidos utilizando, para o efeito, o sistema de telemetria ESET LiveGrid.

“A backdoor Linux/Cdorked.A não deixa vestígios no disco rígido, para além de um ficheiro httpd modificado, ou seja, o daemon (ou serviço) utilizado pelo Apache. Todas as informações relacionadas com a backdoor são armazenadas na memória partilhada do servidor, tornando a detecção praticamente impossível”, afirma Pierre-Marc Bureau, Responsável pela Unidade de Segurança e Inteligência da ESET.

Porém, o Linux/Cdorked.A efectua outros passos para evitar a detecção, tanto nos servidores web comprometidos, como nos browsers dos computadores que os visitam.

“A configuração da backdoor é enviada para o atacante utilizando pedidos HTTP, que para além de estarem ofuscados, não são registados pelo Apache, reduzindo em larga escala a possibilidade de detecção utilizando as ferramentas de monitorização mais comuns. A configuração é armazenada na memória, significando que nenhuma informação “Command and Control” está visível. A análise forense, torna-se assim, mais complexa”, refere Righard Zwienenberg, investigador da ESET.

O pacote de exploits Blackhole é frequentemente utilizado, sendo que nele estão presentes ameaças conhecidas e emergentes, que não têm outro propósito se não apoderarem-se do computador da vítima, quando visita um site malicioso.

Através da utilização de um cookie, a vítima é redireccionada para um site malicioso apenas uma vez. Porém, o cookie não é colocado nas páginas de administração, uma vez que a backdoor verifica, previamente, o endereço de referência para concluir se os utilizadores provêm de um url onde constam palavras chave como admin ou cpanel.

A ESET aconselha os administradores de sistemas a verificarem os seus servidores. Uma ferrramenta de detecção, programada em C pode ser encontrada em http://www.welivesecurity.com/wp-content/uploads/2013/04/dump_cdorked_config.c.


Share:
Patricia Fonseca

Deixe o seu comentário