复杂的Apache后门在野外

ESET研究人员与网络安全公司Sucuri一直在分析影响Apache Web服务器的新威胁。

威胁是一个高度先进的隐形后门,该后门被用来将流量吸引到带有Blackhole攻击包的恶意网站。研究人员将后门命名为Linux / Cdorked.A,这是迄今为止所见过的最复杂的Apache后门。

“Linux / Cdorked.Backdoor不会在修改后的硬盘上留下痕迹“httpd”文件,Apache使用的守护程序(或服务)。与后门相关的所有信息都存储在服务器上的共享内存中,这使得检测变得困难并且阻碍了分析”,ESET安全情报计划经理Pierre-Marc Bureau说。

另外,Linux / Cdorked.A采取了其他步骤来避免检测,无论是在受感染的Web服务器还是访问它的计算机的Web浏览器上。

“The backdoor’攻击者使用HTTP请求发送配置,该HTTP请求不仅被Apache混淆,也未被Apache登录,从而降低了常规监视工具检测到HTTP的可能性。配置存储在内存中,这意味着后门没有任何命令和控制信息可见,从而使取证分析变得复杂”,资深研究员Righard Zwienenberg补充说。

Blackhole漏洞利用工具包是一种流行的,普遍使用的漏洞利用工具包,使用新的零日漏洞和已知漏洞利用程序,当您访问由Blackhole工具包构成和感染的站点时,可以控制您的系统。

当某人访问受感染的Web服务器时,他们不会简单地重定向到恶意网站–在浏览器中设置了一个Web cookie,因此后门不会再次将它们发送到那里。

未在管理员页面上设置网络cookie:后门检查访问者’的引荐来源网址字段,以及是否将它们从其中包含某些关键字的URL重定向到网页,例如“admin” or “cpanel”,则不会提供任何恶意内容。

欲了解更多信息,请阅读Sucuri’s 博客文章 在这次袭击中。

分享这个