移动安全 安全管理 应用案例 网络威胁系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 系统安全 >

Darkleech木马进级:多是最精美的apache后门

时间:2013-05-04 10:19来源:TuZhiJiaMi企业信息安全专家 点击:
近日,Sucuri和ESET公司结合研究,发现近期Blackhole在报复打击中利用了一种“精美”的apache后门—— Linux/Cdorked.A。 Linux/Cdorked.A后门除点窜了守护过程“httpd”外,不会在硬盘中留下任何线索,所
Tags系统安全(735)apache(6)Darkleech木马(1)  

  近日,Sucuri和ESET公司结合研究,发现近期Blackhole在报复打击中利用了一种“精美”的apache后门—— Linux/Cdorked.A。

  Linux/Cdorked.A后门除点窜了守护过程“httpd”外,不会在硬盘中留下任何线索,所有有关后门的信息都存放在办事器的共享内存中。报复打击者会经由过程HTTP要求来发送后门的建设信息,不单会颠末混合措置,并且不会被常规的apache日记记实,从而削减被传统监控东西发现的可能。而建设文件信息也是存放在内存中,这意味着后门的C&C办事器信息不成见,使得取证阐发加倍复杂。

  当拜候被攻下的的web办事器时,它不是简单的就被重定向到歹意网站,还会设置一个cookie,从而第二次拜候的时辰不会再重定向到歹意网站。以此削减被思疑的风险。并且cookie对治理页面进行出格设置,不传染治理页面,后门会查抄拜候者的referrer字段,这个手艺手段跟Darkleech apache后门很近似,而事实上恰是Sucuri和ESET延续跟踪Darkleech木马时发现了它有了新的这个改变。

  两个安然公司在比来几个月里,发现了一些基于cPanel的受传染办事器上,歹意软件手法不再是增加模块,或点窜apache建设文件,而是开端替代Apache的守护过程文件httpd,此前安然公司Sucuri曾建议利用“rpm -Va”、“rpm -qf”或“dpkg -S”来查抄Apache的模块是不是被点窜了。但是cPanel把apache安装在/usr/local/apache上,不成以用上面提到的包治理东西号令来进行查抄Apache二进制文件httpd是不是被点窜了。Sucuri公司跟踪到此类型报复打击,把被点窜的httpd提交给了ESET进行阐发。下面请看具体的阐发。

  共享内存存储木马有关信息:

  阐发被点窜的httpd发现,它会成立大年夜约6M的共享内存,以此来存放建设信息,这个共享内存不单可以被所有Apache的子过程利用,并且设计者没有做限制,任何其他过程都可以拜候到。以下图所示:

Darkleech木马进级:多是最精美的apache后门

  经由过程HTTP要求节制木马:

  报复打击者有两种编制节制被植进后门的办事器。一个是经由过程反向连接的shell,一个是经由过程特别的号令。两个别例都是经由过程HTTP要求来触发。

  经由过程特别的HTTP GET要求,便可以触发摆设了反向连接后门的http办事器。要求是一个特制的地址,包含查询特定格局的字符串,包含hostname和端口。而要求者的ip是用于解密要求字符串的key(一个4byte的XOR key)。别的,在http头信息里X-Real-IP或X-Forwarded-For字段内的ip地址会笼盖作为异或key(XOR key)的客户端IP地址。是以研究人员可以捏造一个 X-Real-IP头信息,作为解密的key如 “\x00\x00\x00\x00” key 。最后,所有要求查询的字符串城市颠末hex编码才发送给传染木马的web办事器。

Darkleech木马进级:多是最精美的apache后门

  而因为httpd被hook了,所以这个被修悔改的apache是不会把这类要求记实到log文件中。

  重定向:

  当用户拜候受传染的web办事器,被重定向的时辰,办事器的歹意软件会在返回的重定向内容中加进颠末base64编码的信息,好比原始拜候的URL,原始要求是不是来自javascript等,办事器(正在存放歹意内容的办事器)以此鉴定可供给响应的payload。例如:

  Location: hxxp://dcb84fc82e1f7b01. ******gsm.be/index.php?j=anM9MSZudmNiaW11Zj1jY3

  Zja3FqdSZ0aW1lPTEzMDQxNjE4MjctMzYwNDUzNjUwJnNyYz0yMzImc3VybD13d3cuaW5mZWN0ZWRzZXJ2

  ZXIuY29tJnNwb3J0PTgwJmtleT0xM0Q5MDk1MCZzdXJpPS9mb3J1bS93Y2YvanMvM3JkUGFydHkvcHJvdG

  9hY3Vsb3VzLjEuOC4yLm1pbi5qcw==

  颠末解码后:

  js=1&nvcbimuf=ccvckqju&time=1304161827-360453650&src=232&surl=www.infectedserver

  .com&sport=80&key=13D90950&suri=/forum/wcf/js/3rdParty/protoaculous.1.8.2.min.js

  此中surl参数显示来自哪个受传染的主机。suri显示原始的要求来历。

  Sucuri公司的阐发发现会被重定向到一些***,有一些则重定向到Blackhole Exploit Kit。

  设置cookie:

  当重定向后,就会给来访的客户端设置一个cookie,以包管不会再被重定向。而疑似为治理页面的要求也会设置cookie,不会被重定向。木马会查抄URL,server name,referer,假定有关治理的字符串,就不会发送歹意内容到治理者的website。这些字符串包含:‘*adm*’, ‘*webmaster*’, ‘*submit*’, ‘*stat*’, ‘*mrtg*’, ‘*webmin*’, ‘*cpanel*’, ‘*memb*’, ‘*bucks*’, ‘*bill*’, ‘*host*’, ‘*secur*’, ‘*support*’。以下图所示:

Darkleech木马进级:多是最精美的apache后门

  应对:

  ESET写了个脚本,让系统治理员可以查抄共享内存的内容,和把内容导出到一个文件中。因为病毒作者没有限制共享内存的拜候,任何过程都可对木马成立的那段共享内存进行拜候。

  Sucuri则建议查抄httpd的地点目次是不是存在“open_tty”。

  # grep -r open_tty /usr/local/apache/

  假定在apache二进制文件中发现了open_tty则很可能已收传染,因为原始的apache二进制文件不会调用open_tty。

  今朝查询拜访仍未能清晰这些web办事器是若何被进侵的。有多是SSH暴力破解。

------分隔线----------------------------

推荐内容