fbpx
24.8 C
София

Darkleech се превръща в епидемия

Най-четени

Методи Дамянов
Методи Дамяновhttps://www.kaldata.com/
В "Калдата" от 2012г. насам. С интереси в сферата на информационната и интернет сигурност, дисруптивните технологии (IoT, AI, облак), видеоигрите с душа и послание и интернет свободата. Фен на Кен Ливайн, Ричард Столман и Джон Пери Барлоу.

Според статия публикувана в Ars Technica, сървърният малуер Darkleech е успял да зарази повече от 20 000 уебсайта само за последните две седмици.

Числото на заразените ресурси е достигнато имайки се предвид откритите Cisco почти 2000 заразявания на сървъри с Darkleech. „Вземайки предвид фактът, че стандартният уебсървър може да е дом на средно 10 сайта, това дава възможност да заключим, че около 20 000 уебсайта са заразени“ твърдят специалистите от компанията. Колко е реалното число обаче е трудно да се каже.

Самият процес по компрометиране започва с получаването на root-достъп до сървъра на киберпрестъпниците като как го осъществяват това не е съвсем ясно, но веднъж получили достъпа, киберпрестъпниците успяват да внедрят в сървъра SSHD бекдоор програма, която им позволява да качат и конфигурират зловредни модули Apache. Един от тези модули, според Мери Лaндесман от Cisco е именно Darkleech.

Веднъж осъществено заразяването, програмата започват действия, които да скрият присъствието й. Тя започва да заразява посетители на инфектираната страница посредством динамичното инжектиране на iFrame-ове в страницата. Самото инжектиране се осъществява единствено при получаването на достъп до нея. Освен това една от техниките за прикриването на съществуването си е осъществяването на анализ на посещението базирано на собственият й (на програмата) блеклист от „паяци“ на търсачки и IP-та на изследователи на интернет сигурността, собственици на сайтове и компрометирани доставчици на хостинг услуги. Darkleech проверява рефералните URL-адреси, за да се удостовери, че посетителят е попаднал на страницата посредством линк предоставен в резултатите от обикновено търсене в някоя търсачка и проверява потребителските агенти (User Agents) на браузъра, за да ограничи атаката си до Windows потребители.

Резултатът от всичко това е заразяване на уебсървъра, което е трудно да бъде засечено и вероятно още по-трудно да бъде премахнато. Така например, собственикът на един компрометиран сайт няма да може да засече и почисти инфектирането, тъй като всъщност то не е на неговия сайт и повечето от тях няма да имат root-достъп до сървъра, обяснява Ландесман. Преди 2 седмици в блога Malware Must Die бе публикуван подробен анализ на Darkleech. В него се твърди: „След като бъде получен root-достъп до всички инфектирани сървъри, ние не може вече да се доверим на хоста или на неговите акредитиви. За това ви препоръчваме да разкачите машината от мрежата и да използвате бекъп, за да стартирате нова услуга. И запомнете, че е нужно да смените името на потребителя на сървъра, тъй като има голяма вероятност от изтичане на акредитивите (credentials) на администратора на сървъра“. Не на последно място би могло да се посочи, че хостинг компанията ще има комерсиална подбуда да отрече или пренебрегне доказателствата за заразата. Даже и да бъде премахнат Darkleech, root-ът ще бъде повторно използван от киберпрестъпниците.
Допълнително: анализ на дейността на вариант на Darkleech: Linux/Chapro.A от Дейвид Харли от ESET публикуван миналата година.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари

Нови ревюта

Подобни новини