Компанія ESET — лідер у галузі розробки антивірусного програмного забезпечення — повідомляє про появу нової загрози, яка вражає широко популярні та використовувані у всьому світі сервери Apache. У ході аналізу спеціалісти лабораторії ESET та дослідники компанії Sucuri дійшли висновку, що ця шкідлива програма представляє собою вдосконалений прихований бекдор, який використовується для перенаправлення трафіку на шкідливі сайти, які містять пакети експлойтів Blackhole. За словами експертів, виявлена загроза, що отримала назву Linux/Cdorked.A, є одним з найбільш складних бекдорів, відомих на сьогоднішній день.
За допомогою хмарної технології ESET LiveGrid® було виявлено сотні інфікованих веб-серверів. «На відміну від інших подібних загроз, бекдор Linux/Cdorked.A не залишає будь-яких слідів своєї діяльності на жорсткому диску, крім модифікованого «httpd» файлу, прихованого процесу (або сервісу), що використовуються сервером Apache. Уся інформація, пов'язана з бекдором, зберігається у загальній пам'яті на сервері, що значно ускладнює виявлення та перешкоджає аналізу», — розповідає П'єр-Марк Бюро, керівник програми глобального моніторингу шкідливої активності ESET.
Крім цього, для зменшення ймовірності виявлення загрози звичайними інструментами моніторингу зловмисники використовують приховані HTTP-запити для передачі службової інформації від шкідливого коду, які не фіксуються в лог-файлі роботи Apache. Таким чином сліди взаємодії шкідливого коду з C&C сервером також відсутні.
Зазначимо, що Blackhole є популярним і широко поширеним пакетом експлойтів, який використовуючи нові «0-денні» та відомі загрози, дозволяє кіберзлочинцям контролювати систему під час відвідування користувачем шкідливого сайту, що містить даний пак. Під час відвідування інфікованого веб-сервера здійснюється не просто перенаправлення на шкідливий ресурс — використання куки-файлу, встановленого в браузері, дозволяє бекдору не перенаправляти користувачів на інфікований ресурс двічі. Веб-кукі не встановлені на сторінках адміністратора: бекдор перевіряє заголовки запиту клієнта та, якщо вони були перенаправлені на веб-сторінку з URL, що включає певні ключові слова такі як «admin» або «cpanel», то шкідливий контент не відображається.
Спеціалісти ESET настійно рекомендують системним адміністраторам перевірити сервери, що використовуються, та переконатися, що вони надійно захищені від даної загрози. Безкоштовний інструмент виявлення, докладні інструкції про те, як перевірити на наявність бекдора, та повний технічний аналіз Linux/Cdorked.A доступні на ресурсі WeLiveSecurity.com.