Os investigadores da ESET, em colaboração com a empresa de segurança Sucuri, descobriram uma nova ameaça que ataca os servidores web baseados em Apache, amplamente utilizados em todo o mundo.
Esta ameaça consiste numa backdoor muito avançada e que é utilizada para conduzir tráfego para sites maliciosos que possuem pacotes de exploits Blackhole. Os investigadores baptizaram esta ameaça com o nome, Linux/Cdorked.A, sendo a backdoor para Apache mais sofisticada até à data.
Até agora, os investigadores da ESET já identificaram centenas de servidores comprometidos utilizando, para o efeito, o sistema de telemetria ESET LiveGrid.
“A backdoor Linux/Cdorked.A não deixa vestígios no disco rígido, para além de um ficheiro httpd modificado, ou seja, o daemon (ou serviço) utilizado pelo Apache. Todas as informações relacionadas com a backdoor são armazenadas na memória partilhada do servidor, tornando a detecção praticamente impossível”, afirma Pierre-Marc Bureau, Responsável pela Unidade de Segurança e Inteligência da ESET.
Porém, o Linux/Cdorked.A efectua outros passos para evitar a detecção, tanto nos servidores web comprometidos, como nos browsers dos computadores que os visitam.
“A configuração da backdoor é enviada para o atacante utilizando pedidos HTTP, que para além de estarem ofuscados, não são registados pelo Apache, reduzindo em larga escala a possibilidade de detecção utilizando as ferramentas de monitorização mais comuns. A configuração é armazenada na memória, significando que nenhuma informação “Command and Control” está visível. A análise forense, torna-se assim, mais complexa”, refere Righard Zwienenberg, investigador da ESET.
O pacote de exploits Blackhole é frequentemente utilizado, sendo que nele estão presentes ameaças conhecidas e emergentes, que não têm outro propósito se não apoderarem-se do computador da vítima, quando visita um site malicioso.
Através da utilização de um cookie, a vítima apenas é redireccionada para um site malicioso apenas uma vez. Porém, o cookie não é colocado nas páginas de administração, uma vez que a backdoor verifica, previamente, o endereço de referência para concluir se os utilizadores provêm de um endereço que tem palavras chave como admin ou cpanel.
A ESET aconselha os administradores de sistemas para verificarem os seus servidores. Uma ferrramenta de detecção, programada em C pode ser encontrada aqui.