Descubren un sofisticado backdoor que afecta servidores web
Especialistas en la detección proactiva de amenazas, en conjunto con miembros en seguridad web de Sucuri, ha detectado una nueva amenaza que afecta a servidores web Apache, los más conocidos y usados en el mundo.
Linux/Cdorked.A es un backdoor altamente avanzado que se usa para dirigir el tráfico hacia sitios maliciosos alojados en dichos servidores, que contienen el paquete de exploit Blackhole. Es, hasta ahora, el más sofisticado con el que se han encontrado los expertos.
“El backdoor Linux/Cdorked.A sólo deja como rastro en el disco duro un archivo ‘httpd’ modificado, el mismo servicio que utiliza Apache. Toda la información relacionada a este troyano se guarda en la memoria compartida del servidor, haciendo difícil la detección y obstaculizando el análisis”, declaró Pierre-Marc Bureau, Security Intelligence Program Manager.
“El atacante envía la configuración del backdoor usando peticiones HTTP que son ofuscadas y no son registradas por Apache, reduciendo la probabilidad de detectarlo con herramientas de monitoreo convencionales. La configuración es almacenada en la memoria, lo que significa que la información de comando y control de la amenaza no es visible”, agregó Righard Zwienenberg, Senior Researcher Fellow de ESET.
El kit de exploit Blackhole es un popular paquete que usa exploits conocidos y se aprovecha de nuevas vulnerabilidades zero day para tomar control del sistema cuando el usuario visita un sitio comprometido por la amenaza. El acceso a un servidor web infectado no implica simplemente el redireccionamiento a un sitio malicioso: una cookie es implantada en el navegador, de modo que el backdoor no vuelve a dirigir al usuario al mismo lugar.
Asimismo, y para no afectar a un administrador de sistema, el backdoor comprueba el referrer del usuario y si este es redireccionado desde una URL que contenga determinadas palabras claves como “admin” o “cpanel”, el troyano no redirige a la persona hacia contenidos maliciosos.
Se recomienda a los administradores de sistemas que chequeen sus servidores y verifiquen que no estén afectados por esta amenaza.
Linux/Cdorked.A es un backdoor altamente avanzado que se usa para dirigir el tráfico hacia sitios maliciosos alojados en dichos servidores, que contienen el paquete de exploit Blackhole. Es, hasta ahora, el más sofisticado con el que se han encontrado los expertos.
“El backdoor Linux/Cdorked.A sólo deja como rastro en el disco duro un archivo ‘httpd’ modificado, el mismo servicio que utiliza Apache. Toda la información relacionada a este troyano se guarda en la memoria compartida del servidor, haciendo difícil la detección y obstaculizando el análisis”, declaró Pierre-Marc Bureau, Security Intelligence Program Manager.
“El atacante envía la configuración del backdoor usando peticiones HTTP que son ofuscadas y no son registradas por Apache, reduciendo la probabilidad de detectarlo con herramientas de monitoreo convencionales. La configuración es almacenada en la memoria, lo que significa que la información de comando y control de la amenaza no es visible”, agregó Righard Zwienenberg, Senior Researcher Fellow de ESET.
El kit de exploit Blackhole es un popular paquete que usa exploits conocidos y se aprovecha de nuevas vulnerabilidades zero day para tomar control del sistema cuando el usuario visita un sitio comprometido por la amenaza. El acceso a un servidor web infectado no implica simplemente el redireccionamiento a un sitio malicioso: una cookie es implantada en el navegador, de modo que el backdoor no vuelve a dirigir al usuario al mismo lugar.
Asimismo, y para no afectar a un administrador de sistema, el backdoor comprueba el referrer del usuario y si este es redireccionado desde una URL que contenga determinadas palabras claves como “admin” o “cpanel”, el troyano no redirige a la persona hacia contenidos maliciosos.
Se recomienda a los administradores de sistemas que chequeen sus servidores y verifiquen que no estén afectados por esta amenaza.
Te puede interesar ..
