Хакеры размещают на взломанных серверах Apache бэкдор

Posted: Январь 28, 2013 in Интернет

ssh-backdoor

Группа хакеров, инфицирующая веб-серверы поддельным модулем для сервера Apache, начала заниматься распространением сервиса SSH со встроенным бэкдором для кражи паролей и администраторских данных на серверах.

В последнем случае группа хакеров заменяет все двоичные файлы, связанные с SSH на скомпрометированных серверах бэкдор-версией, созданной специально для перехвата всех вводимых через SSH-сессии данных и их передачи на подконтрольный сторонний сервер. Об этом рассказали в компании Sucuri, занимающейся защитой от веб-атак.

«Мне доводилось видеть SSHD-бэкдоры в прошлом, правда в небольшом масштабе и не на публичных серверах. Однако новая атака отличается от всего ранее виденного», — говорит Дэниэль Сид, технический директор Sucuri. «Хакеры модифицируют не только SSH-демон, но и все SSH-бинарники (SSH, SSH-агент и SSHD) с основной целью — похитить учетные данные с сервера».

При помощи подобной техники потенциальные злоумышленники могут получить контроль над скомпрометированной машиной даже в том случае, если администратор сервера сменит свой пароль и все пользовательские пароли. В случаях, расследованных Sucuri, администратор удалил мошеннический модуль для Apache, сменил все пароли, но атака все равно повторилась через несколько дней, говорит Сид.

По его словам, перехват обновленных данных был осуществлен как раз через бэкдор-SSH, который хакеры оставили на сервере еще с первой атаки. «Это достаточно нетривиальный шаг, который позволяет вам однажды проникнув в систему, подчинять ее на протяжении длительного времени без опасности обнаружения. Первое вторжение на сервер можно осуществить самыми разными способами: перебором паролей, за счет использования какой-либо сторонней уязвимости, либо просто украв настоящие данные каким-то способом», — говорит Денис Синегубко, создатель секьюрити-сканера Unmask Parasites.

По его данным, волна атак с поддельными Apache-модулями прошла в сети с августа по октябрь прошлого года. Большая часть этих модулей форсировала выведение специального фрейма на всех сайтах под управлением сервера, где пользователи переводились на злонамеренные ресуры.

Многие из этих атак были связаны с набором хакерского ПО DarkLeech. Сейчас у специалистов нет данных о том, что бэкдор-SSH был включен в состав новой версии DarkLeech.

Кроме того в сети широкое распространение получила и новая вредоносная программа семейства BackDoor.Butirat. Очередная модификация этой известной угрозы, получившая наименование BackDoor.Butirat.245, использует принципиально новый механизм, позволяющий троянцу генерировать имена управляющих серверов злоумышленников. Скорее всего, это делается для того, чтобы повысить «живучесть» вредоносной программы при отключении одного из управляющих центров, говорят в антивирусной компании «Доктор Веб».

Напомним, что троянцы-бэкдоры семейства BackDoor.Butirat способны загружать на инфицированный компьютер и запускать на нем исполняемые файлы по команде с управляющего сервера, а также красть пароли от популярных FTP-клиентов (FlashFXP, Total Commander, Filezilla, FAR, WinSCP, FtpCommander, SmartFTP и др.).

Принцип, используемый данным троянцем для заражения компьютера жертвы, также не отличается оригинальностью: BackDoor.Butirat создает свою копию в одной из системных папок и вносит изменения в реестр, с тем чтобы при загрузке Windows осуществлялся его автоматический запуск.

Отличительной особенностью модификации BackDoor.Butirat.245 является принципиально новый механизм, позволяющий троянцу генерировать имена управляющих серверов, в то время как в предыдущих версиях адрес командного центра был жестко прописан в самой вредоносной программе. Как и в случае с недавно добавленными в базы новыми модификациями вредоносной программы BackDoor.BlackEnergy, при исследовании BackDoor.Butirat.245 специалистов «Доктор Веб» ждал сюрприз: троянец автоматически генерирует имена управляющих доменов третьего уровня. В то же время соответствующий домен второго уровня зарегистрирован хорошо известной компанией, традиционно игнорирующей любые сообщения и жалобы. Вероятно, вирусописатели полагали, что смогут таким способом повысить «живучесть» вредоносной программы в случае отключения одного из управляющих центров.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s