Содержание статьи
Непросвещенному человеку кажется, что проблемы индейцев-апачей не волнуют шерифов, то есть рядовых пользователей интернета. А касаются они исключительно владельцев сайтов на базе Apache. На самом деле вся эта малварь с удовольствием натягивает обычных посетителей сайтов, заливая им трояны, которые затем воруют их денежки и пароли. Считаю, что такого врага нужно узнать в лицо, ведь примерно каждый третий сайт, который ты посещаешь, работает как раз на Apache.
Linux/Chapro (Darkleech)
Самый популярный в мире Apachе-бэкдор. Появился в середине 2012 года. Обнаружить его деятельность на сервере затруднительно, так как он не оставляет следов на жестком диске (работает с Shared Memory) и в логах сервера (имеет систему скрытия HTTP-запросов).
Бинарный файл зашифрован с помощью стандартного XOR-алгоритма. Пересылаются похищенные данные POST-запросом по HTTP-протоколу. Передаваемая информация шифруется дважды: с использованием 1024-битного ключа RSA и Base64.
Также в Linux/Chapro есть система сверки IP жертв с базой адресов уже обработанных компьютеров. Страница с вредоносным iframe показывается отдельному пользователю только один раз.
Также вирус умеет подавлять свою деятельность в старых версиях браузеров, в которых iframe-инъекция может сильно бросаться в глаза.
Распространение
Распространяется под видом Apache-модуля Darkleech. Также может быть внедрен с помощью трояна Gootkit (эксплуатируя уязвимость CVE-2012-1823 в PHP-CGI).
Вредоносная деятельность
После заражения сервера вирус внедряет iframe, перенаправляющий на ресурс с Blackhole Exploit Kit, в код страниц сайта. При наличии у пользователя уязвимостей в браузере или плагинах к нему происходит следующее:
- Загружается программа Pony Loader, предназначенная для хищения конфиденциальных данных пользователя. Последние версии этой малвари могут украсть даже информацию о логинах и паролях для кошельков с криптовалютами.
- Устанавливается троян из семейства Sirefef, который может блокировать брандмауэры, загружать из интернета обновления вирусов, перенаправлять трафик, подделывать поисковую выдачу и многое другое. Конкретный функционал зависит от модификации вируса.
- Запускается троян Nymaim, и компьютер блокируется, требуя заплатить штраф суммой в три сотни баксов.
Некоторые модификации Linux/Chapro заражают пользователей трояном Zeus (через эксплойт Sweet Orange), который ворует данные для входа в онлайн-банкинги и другие платежные системы (аналогично поступает бэкдор Linux/Snasko).
Linux/SSHDoor.A
Дополнение для Linux/Chapro, предназначенное для хищения данных SSH-авторизаций.
Распространение
Распространяется аналогичным способом — через фальшивый Apache-модуль Darkleech (что вполне закономерно).
Вредоносная деятельность
Основная цель этой малвари — хищение данных для SSH-доступа и получение удаленного доступа к системе. В фоновом режиме ожидает, когда пользователь захочет войти на сервер через SSH, и в нужный момент считывает авторизационные данные, которые отправляет на сервер злоумышленников.
Linux/Cdorked.A
Появился весной 2013 года. Заражает исключительно Apache-серверы, оснащенные cPanel. Компактный 70-строчный бинарный код исполняемого файла этого вируса зашифрован алгоритмом XOR со статическим 4-битным ключом, расшифровать который совсем не сложно. Идеален для исследования. А вот обнаружить активность Cdorked.A несколько затруднительно, так как:
- он не оставляет следов своей деятельности на жестком диске, работая с Shared Memory (задействуется примерно 6 Мб);
- его активность не отображается в логах сервера благодаря хитрой схеме обфускации HTTP-запросов;
- он умеет идентифицировать заходы администратора на сайт и не вставлять в таком случае вредоносный код на страницы. Делает он это довольно нехитрым способом: в cookies и URL загружаемых страниц ищет подстроки adm, submit, webmaster, stat, webmin, cpanel и подобные.
Эти три свойства обеспечивают ему первое место в рейтинге самых хитрых Apache-бэкдоров среди известных вирусным аналитикам (Chapro практически догоняет его по этому показателю). Наверняка есть представители этого типа малвари и поизворотливее, но их пока не обнаружили :).
Распространение
Заражение происходит посредством прямой интеграции в httpd (основной исполняемый файл Apache). Способ, которым вирусописатели получают root-права для доступа к этому файлу, окончательно не установлен.
Вредоносная деятельность
Когда пользователь заходит на сайт, содержащий iframe-инъекции, сгенерированные Cdorked, его разводят по стандартной схеме: перенаправляют на Blackhole Exploit Kit, который берет дело в свои руки и сканирует браузер пользователя на предмет различных уязвимостей. Также в этот момент юзеру заливаются cookies, исключающие возможность повторного перенаправления пользователя.
Итак, какие неприятности происходят с компьютером, в браузере которого удалось обнаружить уязвимости:
- обработка cookies с целью сбора информации;
- получение прав на управление любыми процессами в системе;
- выполнение команд, посылаемых удаленным сервером злоумышленников.
Также стоит отметить, что Linux/Cdorked.A не имеет механизмов самораспространения. То есть автоматическое заражение происходит исключительно от сервера к клиенту.
Java.Tomdep
Опасен для серверов Apache Tomcat (ядро которых написано на Java, а не на C, как у классического «индейца»). Обнаружен весной 2013 года. Цель создателей этого вируса — формирование обширной ботнет-сети для проведения DDoS-атак.
Распространение
Распространяется в виде Java-сервлета (файл обычно называется Apache Loader и размещается в /jsp-examples/error/ApacheLoader).
Вредоносная деятельность
Выполняет команды, отправляемые с удаленного IRC-сервера. Он использует зараженный сервер для проведения DDoS-атак (Tomdep специализируется на UPD-флуде) через SOCKS-прокси, ищет другие серверы Apache Tomdep и проникает на них путем стандартного брутфорса паролей. Также вирус способен видоизменять собственный код и самообновляться.
Посетителям сайтов, зараженных этим вирусом, бояться нечего, так как он создан для проведения DDoS-атак и не внедряет в страницы iframe-инъекции.
Linux/Snakso.A
Появившийся осенью 2012 года Linux-руткит написан специально для версии ядра 2.6.32-5-amd64, которое используется в Debian Squeeze (6.0). Вирусные аналитики в своих блогах отмечают неопытность создателя этого вируса: сборка весит 500 Кб, много лишнего кода, который скомпилирован вместе с отладочной информацией... Тем не менее Snakso заразил сотни тысяч компьютеров по всему миру и в логах сервера его просто так не обнаружить: эта малварь умеет обфусцировать HTTP-запросы.
Распространение
Распространяется через iframe-инъекции, но несколько необычным способом: подменяет функцию tcp_sendmsg, формирующую TCP-пакеты. Apache-бэкдоры, которые появились до Snakso.A, делали то же самое с помощью PHP-скрипта. Актуальность версий кодов вредоносных фреймов этот вирус регулярно сверяет с удаленным севером.
Вредоносная деятельность
При наличии уязвимости в браузере пользователя на его компьютере устанавливается знаменитый троян Zeus (Zbot), который специализируется на перехвате данных для управления электронными счетами и системами онлайн-банкинга. Модификация этого червя, распространяемая с помощью Snakso, похищает с компьютеров пользователей данные для SSH-доступа на серверы и использует их для дальнейшего распространения вируса.
Blackhole Exploit Kit
Набор drive-by эксплойтов, эксплуатирующих уязвимости в Java Virtual Machine и других браузерных дополнениях. Некоторое время (2010–2011 годы) был одним из самых коммерчески успешных хакерских проектов, пока его исходный код не утек в открытый доступ. Включает в себя бесчисленное множество компонентов, среди которых:
- TDS (traffic direction script) — скрипт для перенаправления трафика;
- Carberp — троян, в частности собирающий данные о зараженной системе;
- stopav.plug — система противодействия антивирусам;
- passw.plug — система мониторинга посещенных страниц и вводимых логинов/паролей.
Используется для внедрения троянов Zeus, SpyEye и многих других.
Меры защиты для владельцев Apache-сайтов
- Регулярно просматривать TNS-логи, Apache-логи и логи файрвола на предмет подозрительных явлений. Прежде всего стоит обратить внимание на long-running HTTP-соединения.
- Исследовать код страниц сайта (это делается в браузере — выбираем соответствующий пункт контекстного меню) с целью поиска обфусцированных участков непонятного происхождения.
- Везде ставить надежные пароли. Как минимум — сменить в настройках все default-value.
- Проверять наличие изменений в модулях Apache c помощью утилиты debsums, которая проводит контроль MD5-сумм установленных дополнений.
- Делать дампы shared-memory.
Советы для простых пользователей Сети
- Не использовать устаревшие версии браузеров. Они содержат досконально изученные хакерами уязвимости!
- Снести Adobe Flash Player, Real Player и Java-аддоны. Если эти дополнения тебе нужны, регулярно ставь обновления (строго с официальных сайтов).
- Регулярно прокачивать свой браузер последними новинками в сфере защиты от drive-by угроз.
Apache vs nginx
В конце мая этого года в мире произошло эпохальное событие — nginx обогнал Apache по доле сайтов, работающих на его основе (40% против 39%).
Обфускация HTTP-запросов
Эта фича может быть полезна не только вирусописателям, но и добропорядочным владельцам сайтов для повышения уровня безопасности своего ресурса. Обфускацию HTTP-запросов можно делать с помощью jcryption.js. Пример:
:~$ openssl genrsa -out rsa_1024_priv.pem 1024
$(function() {
$("#FormForUserEmail").jCryption();
});
http://www.example.com/emailprocessing.php?
jCryption=U2FsdGVkX18Lcr8aHYWL8YDeaaiBWoWY/
N9CZlOKvCOkbaJgFlX3EBup0s7BXsah1i445d4WoyAnXWK2xEqxSi3+cAxi4ehQKyd523Re278
"email=irairache%40gmail.com&password=ilovehackermagazine&status=lordofuniverse"
Apache-модули
Главное в Apache — его модульность, дающая возможность подключать поддержку языков программирования, добавлять новый функционал, усиливать безопасность или устранять уязвимости. Всего насчитывается несколько сотен дополнительных модулей Apache (некоторые из них: mod_rewrite, mod_ssl, mod_pop3, mod_python).
Между прочим, на Apache можно исполнять код, написанный на любом языке программирования, с помощью интерфейса CGI (Common Gateway Interface).