14647 0

ESET descobre nova ameaça dirigida aos servidores Apache

Os investigadores da ESET, em colaboração com a empresa de segurança Sucuri, descobriram uma nova ameaça que ataca os servidores web baseados em Apache, amplamente utilizados em todo o mundo.

Esta ameaça consiste numa backdoor muito avançada e que é utilizada para conduzir tráfego para sites maliciosos que possuem pacotes de exploits Blackhole. Os investigadores baptizaram esta ameaça com o nome, Linux/Cdorked.A, sendo a backdoor para Apache mais sofisticada até à data.

Até agora, os investigadores da ESET já identificaram centenas de servidores comprometidos utilizando, para o efeito, o sistema de telemetria ESET LiveGrid.

“A backdoor Linux/Cdorked.A não deixa vestígios no disco rígido, para além de um ficheiro httpd modificado, ou seja, o daemon (ou serviço) utilizado pelo Apache. Todas as informações relacionadas com a backdoor são armazenadas na memória partilhada do servidor, tornando a detecção praticamente impossível”, afirma Pierre-Marc Bureau, Responsável pela Unidade de Segurança e Inteligência da ESET.

Porém, o Linux/Cdorked.A efectua outros passos para evitar a detecção, tanto nos servidores web comprometidos, como nos browsers dos computadores que os visitam.

“A configuração da backdoor é enviada para o atacante utilizando pedidos HTTP, que para além de estarem ofuscados, não são registados pelo Apache, reduzindo em larga escala a possibilidade de detecção utilizando as ferramentas de monitorização mais comuns. A configuração é armazenada na memória, significando que nenhuma informação “Command and Control” está visível. A análise forense, torna-se assim, mais complexa”, refere Righard Zwienenberg, investigador da ESET.

O pacote de exploits Blackhole é frequentemente utilizado, sendo que nele estão presentes ameaças conhecidas e emergentes, que não têm outro propósito se não apoderarem-se do computador da vítima, quando visita um site malicioso.

Através da utilização de um cookie, a vítima é redireccionada para um site malicioso apenas uma vez. Porém, o cookie não é colocado nas páginas de administração, uma vez que a backdoor verifica, previamente, o endereço de referência para concluir se os utilizadores provêm de um url onde constam palavras chave como admin ou cpanel.

A ESET aconselha os administradores de sistemas a verificarem os seus servidores. Uma ferrramenta de detecção, programada em C pode ser encontrada em http://www.welivesecurity.com/wp-content/uploads/2013/04/dump_cdorked_config.c.


Patricia Fonseca

Patricia Fonseca

Viciada em tecnologia, entrou para a equipa em 2012 e é responsável pela Leak Business, função que acumula com a de editora da Leak. Não dispensa o telemóvel nem o iPod e não consegue ficar sem experimentar nenhum dispositivo tecnológico.

Notícias Relacionadas

PRIMAVERA Vai Contratar 40 Novos Colaboradores

A PRIMAVERA BSS anunciou que vai contratar, ao longo do corrente ano, 40 novos colaboradores para reforçar as suas equipas de consultoria e desenvolvimento de software nos mercados

Hi-media cria aplicação para passatempo da Warner Bros

A Hi-media Portugal é responsável pelo desenvolvimento da aplicação de facebook para o passatempo da antestreia do filme “Homem de Aço”. Esta é a primeira aplicação desenvolvida pelo

Gateway cresce 6% em vendas em 2012

A Gateway Portugal anunciou um crescimento de 6% em vendas no ano fiscal de 2012. Este contraciclo deve-se nomeadamente ao ganho de novos clientes, ao crescimento das vendas

Empresas financeiras são as que melhor aproveitam as oportunidades do Big Data

As organizações europeias de serviços financeiros estão à frente no que toca ao aproveitamento da oportunidade do big data, de acordo com um novo estudo patrocinado pela Ricoh.

Dê a sua opinião:

O seu endereço de email não será publicado. Campos obrigatórios marcados com *