Непросвещенному человеку кажется, что проблемы индейцев-апачей не волнуют шерифов, то есть рядовых пользователей интернета. А касаются они исключительно владельцев сайтов на базе Apache. На самом деле вся эта малварь с удовольствием натягивает обычных посетителей сайтов, заливая им трояны, которые затем воруют их денежки и пароли. Считаю, что такого врага нужно узнать в лицо, ведь примерно каждый третий сайт, который ты посещаешь, работает как раз на Apache.

 

Linux/Chapro (Darkleech)

Самый популярный в мире Apachе-бэкдор. Появился в середине 2012 года. Обнаружить его деятельность на сервере затруднительно, так как он не оставляет следов на жестком диске (работает с Shared Memory) и в логах сервера (имеет систему скрытия HTTP-запросов).

Бинарный файл зашифрован с помощью стандартного XOR-алгоритма. Пересылаются похищенные данные POST-запросом по HTTP-протоколу. Передаваемая информация шифруется дважды: с использованием 1024-битного ключа RSA и Base64.

Также в Linux/Chapro есть система сверки IP жертв с базой адресов уже обработанных компьютеров. Страница с вредоносным iframe показывается отдельному пользователю только один раз.

Также вирус умеет подавлять свою деятельность в старых версиях браузеров, в которых iframe-инъекция может сильно бросаться в глаза.

Распространение

Распространяется под видом Apache-модуля Darkleech. Также может быть внедрен с помощью трояна Gootkit (эксплуатируя уязвимость CVE-2012-1823 в PHP-CGI).

Вредоносная деятельность

После заражения сервера вирус внедряет iframe, перенаправляющий на ресурс с Blackhole Exploit Kit, в код страниц сайта. При наличии у пользователя уязвимостей в браузере или плагинах к нему происходит следующее:

  • Загружается программа Pony Loader, предназначенная для хищения конфиденциальных данных пользователя. Последние версии этой малвари могут украсть даже информацию о логинах и паролях для кошельков с криптовалютами.
  • Устанавливается троян из семейства Sirefef, который может блокировать брандмауэры, загружать из интернета обновления вирусов, перенаправлять трафик, подделывать поисковую выдачу и многое другое. Конкретный функционал зависит от модификации вируса.
  • Запускается троян Nymaim, и компьютер блокируется, требуя заплатить штраф суммой в три сотни баксов.

Некоторые модификации Linux/Chapro заражают пользователей трояном Zeus (через эксплойт Sweet Orange), который ворует данные для входа в онлайн-банкинги и другие платежные системы (аналогично поступает бэкдор Linux/Snasko).

 

Linux/SSHDoor.A

Дополнение для Linux/Chapro, предназначенное для хищения данных SSH-авторизаций.

Распространение

Распространяется аналогичным способом — через фальшивый Apache-модуль Darkleech (что вполне закономерно).

Вредоносная деятельность

Основная цель этой малвари — хищение данных для SSH-доступа и получение удаленного доступа к системе. В фоновом режиме ожидает, когда пользователь захочет войти на сервер через SSH, и в нужный момент считывает авторизационные данные, которые отправляет на сервер злоумышленников.

 

Linux/Cdorked.A

Появился весной 2013 года. Заражает исключительно Apache-серверы, оснащенные cPanel. Компактный 70-строчный бинарный код исполняемого файла этого вируса зашифрован алгоритмом XOR со статическим 4-битным ключом, расшифровать который совсем не сложно. Идеален для исследования. А вот обнаружить активность Cdorked.A несколько затруднительно, так как:

  • он не оставляет следов своей деятельности на жестком диске, работая с Shared Memory (задействуется примерно 6 Мб);
  • его активность не отображается в логах сервера благодаря хитрой схеме обфускации HTTP-запросов;
  • он умеет идентифицировать заходы администратора на сайт и не вставлять в таком случае вредоносный код на страницы. Делает он это довольно нехитрым способом: в cookies и URL загружаемых страниц ищет подстроки adm, submit, webmaster, stat, webmin, cpanel и подобные.

Эти три свойства обеспечивают ему первое место в рейтинге самых хитрых Apache-бэкдоров среди известных вирусным аналитикам (Chapro практически догоняет его по этому показателю). Наверняка есть представители этого типа малвари и поизворотливее, но их пока не обнаружили :).

Распространение

Заражение происходит посредством прямой интеграции в httpd (основной исполняемый файл Apache). Способ, которым вирусописатели получают root-права для доступа к этому файлу, окончательно не установлен.

Вредоносная деятельность

Когда пользователь заходит на сайт, содержащий iframe-инъекции, сгенерированные Cdorked, его разводят по стандартной схеме: перенаправляют на Blackhole Exploit Kit, который берет дело в свои руки и сканирует браузер пользователя на предмет различных уязвимостей. Также в этот момент юзеру заливаются cookies, исключающие возможность повторного перенаправления пользователя.

Итак, какие неприятности происходят с компьютером, в браузере которого удалось обнаружить уязвимости:

  • обработка cookies с целью сбора информации;
  • получение прав на управление любыми процессами в системе;
  • выполнение команд, посылаемых удаленным сервером злоумышленников.

Также стоит отметить, что Linux/Cdorked.A не имеет механизмов самораспространения. То есть автоматическое заражение происходит исключительно от сервера к клиенту.

 

Java.Tomdep

Опасен для серверов Apache Tomcat (ядро которых написано на Java, а не на C, как у классического «индейца»). Обнаружен весной 2013 года. Цель создателей этого вируса — формирование обширной ботнет-сети для проведения DDoS-атак.

Схема работы Java.Tomdep

Распространение

Распространяется в виде Java-сервлета (файл обычно называется Apache Loader и размещается в /jsp-examples/error/ApacheLoader).

Вредоносная деятельность

Выполняет команды, отправляемые с удаленного IRC-сервера. Он использует зараженный сервер для проведения DDoS-атак (Tomdep специализируется на UPD-флуде) через SOCKS-прокси, ищет другие серверы Apache Tomdep и проникает на них путем стандартного брутфорса паролей. Также вирус способен видоизменять собственный код и самообновляться.

Посетителям сайтов, зараженных этим вирусом, бояться нечего, так как он создан для проведения DDoS-атак и не внедряет в страницы iframe-инъекции.

 

Linux/Snakso.A

Появившийся осенью 2012 года Linux-руткит написан специально для версии ядра 2.6.32-5-amd64, которое используется в Debian Squeeze (6.0). Вирусные аналитики в своих блогах отмечают неопытность создателя этого вируса: сборка весит 500 Кб, много лишнего кода, который скомпилирован вместе с отладочной информацией... Тем не менее Snakso заразил сотни тысяч компьютеров по всему миру и в логах сервера его просто так не обнаружить: эта малварь умеет обфусцировать HTTP-запросы.

Распространение

Распространяется через iframe-инъекции, но несколько необычным способом: подменяет функцию tcp_sendmsg, формирующую TCP-пакеты. Apache-бэкдоры, которые появились до Snakso.A, делали то же самое с помощью PHP-скрипта. Актуальность версий кодов вредоносных фреймов этот вирус регулярно сверяет с удаленным севером.

Вредоносная деятельность

При наличии уязвимости в браузере пользователя на его компьютере устанавливается знаменитый троян Zeus (Zbot), который специализируется на перехвате данных для управления электронными счетами и системами онлайн-банкинга. Модификация этого червя, распространяемая с помощью Snakso, похищает с компьютеров пользователей данные для SSH-доступа на серверы и использует их для дальнейшего распространения вируса.

 

Blackhole Exploit Kit

Набор drive-by эксплойтов, эксплуатирующих уязвимости в Java Virtual Machine и других браузерных дополнениях. Некоторое время (2010–2011 годы) был одним из самых коммерчески успешных хакерских проектов, пока его исходный код не утек в открытый доступ. Включает в себя бесчисленное множество компонентов, среди которых:

  • TDS (traffic direction script) — скрипт для перенаправления трафика;
  • Carberp — троян, в частности собирающий данные о зараженной системе;
  • stopav.plug — система противодействия антивирусам;
  • passw.plug — система мониторинга посещенных страниц и вводимых логинов/паролей.

Используется для внедрения троянов Zeus, SpyEye и многих других.

 

Меры защиты для владельцев Apache-сайтов

  • Регулярно просматривать TNS-логи, Apache-логи и логи файрвола на предмет подозрительных явлений. Прежде всего стоит обратить внимание на long-running HTTP-соединения.
  • Исследовать код страниц сайта (это делается в браузере — выбираем соответствующий пункт контекстного меню) с целью поиска обфусцированных участков непонятного происхождения.
  • Везде ставить надежные пароли. Как минимум — сменить в настройках все default-value.
  • Проверять наличие изменений в модулях Apache c помощью утилиты debsums, которая проводит контроль MD5-сумм установленных дополнений.
  • Делать дампы shared-memory.
 

Советы для простых пользователей Сети

  • Не использовать устаревшие версии браузеров. Они содержат досконально изученные хакерами уязвимости!
  • Снести Adobe Flash Player, Real Player и Java-аддоны. Если эти дополнения тебе нужны, регулярно ставь обновления (строго с официальных сайтов).
  • Регулярно прокачивать свой браузер последними новинками в сфере защиты от drive-by угроз.
 

Apache vs nginx

В конце мая этого года в мире произошло эпохальное событие — nginx обогнал Apache по доле сайтов, работающих на его основе (40% против 39%).

 

Обфускация HTTP-запросов

Эта фича может быть полезна не только вирусописателям, но и добропорядочным владельцам сайтов для повышения уровня безопасности своего ресурса. Обфускацию HTTP-запросов можно делать с помощью jcryption.js. Пример:

   :~$ openssl genrsa -out rsa_1024_priv.pem 1024
   $(function() {
$("#FormForUserEmail").jCryption();
   });
   http://www.example.com/emailprocessing.php?
   jCryption=U2FsdGVkX18Lcr8aHYWL8YDeaaiBWoWY/
   N9CZlOKvCOkbaJgFlX3EBup0s7BXsah1i445d4WoyAnXWK2xEqxSi3+cAxi4ehQKyd523Re278
   "email=irairache%40gmail.com&password=ilovehackermagazine&status=lordofuniverse"

Подробнее.

 

Apache-модули

Главное в Apache — его модульность, дающая возможность подключать поддержку языков программирования, добавлять новый функционал, усиливать безопасность или устранять уязвимости. Всего насчитывается несколько сотен дополнительных модулей Apache (некоторые из них: mod_rewrite, mod_ssl, mod_pop3, mod_python).

Между прочим, на Apache можно исполнять код, написанный на любом языке программирования, с помощью интерфейса CGI (Common Gateway Interface).

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии