Компания ESET — лидер в области разработки антивирусного программного обеспечения — сообщает о появлении новой угрозы, поражающей широко популярные и используемые во всем мире серверы Apache. В ходе анализа специалисты лаборатории ESET и исследователи компании Sucuri пришли к выводу, что данная вредоносная программа представляет собой усовершенствованный скрытый бэкдор, который используется для перенаправления трафика на вредоносные сайты, содержащие пакеты эксплойтов Blackhole. По словам экспертов, выявленная угроза, получившая название Linux/Cdorked.A, является одним из наиболее сложных бэкдоров, известных на сегодняшний день.
С помощью облачной технологии ESET LiveGrid® было выявлено сотни инфицированных веб-серверов. «В отличии от других подобных угроз, бэкдор Linux/Cdorked.A не оставляет каких-либо следов своей деятельности на жестком диске, кроме модифицированного «httpd» файла, скрытого процесса (или сервиса), используемого сервером Apache. Все информация, связанная с бэкдором, хранится в общей памяти на сервере, что значительно усложняет обнаружение и препятствует анализу», — рассказывает Пьер-Марк Бюро, руководитель программы глобального мониторинга вредоносной активности ESET.
Кроме этого, для уменьшения вероятности выявления угрозы обычными инструментами мониторинга злоумышленники используют скрытые HTTP-запросы для передачи служебной информации вредоносному коду, которые не фиксируются в лог-файле работы Apache. Таким образом следы взаимодействия вредоносного кода с C&C сервером также отсутствуют.
Отметим, что Blackhole является популярным и широко распространенным пакетом эксплойтов, который используя новые «0-дневные» и известные угрозы, позволяет киберпреступникам контролировать систему во время посещения пользователем вредоносного сайта, содержащего данный пак. Во время посещения инфицированного веб-сервера осуществляется не просто перенаправление на вредоносный ресурс — использование куки-файла, установленного в браузере, позволяет бэкдору не перенаправлять пользователей на зараженный ресурс дважды. Веб-куки не установлены на страницах администратора: бэкдор проверяет заголовки запроса клиента и, если они были перенаправлены на веб-страницу с URL, включающую определенные ключевые слова такие как «admin» или «cpanel», то вредоносный контент не отображается.
Специалисты ESET настоятельно рекомендуют системным администраторам проверить используемые серверы и убедиться, что они надежно защищены от данной угрозы. Бесплатный инструмент обнаружения, подробные инструкции о том, как проверить на наличие бэкдора, и полный технический анализ Linux/Cdorked.A доступны на ресурсе WeLiveSecurity.com.