Вирус Darkleech - скрытая угроза для веб-сервера Apache

2013-04-11 8275 комментарии
Продолжительная вредоносная атака на серверы Apache позволила взломать 20 000 сайтов. Таинственный «Darkleech», атаковавший десятки тысяч веб-ресурсов, включая веб-сайты Los Angeles Times и Seagate, подвергает посетителей мощному вредоносному эксплойту
AV-Comparatives Март 2013: Динамическое тестирование (Real World Protection Test)
Фото: Aurich Lawson / Thinkstock

Непрерывно продолжающиеся атаки позволили инфицировать около 20 000 сайтов всего за сравнительно короткий промежуток времени – две недели. «Darkleech», успешно справляется с взломом самого популярного во всем мире веб-сервера Apache.

Заполучив управление сервером, Darkleech встраивает инфицированный код в веб-страницы, посредством которого перенаправляет посетителей на сторонние вредоносные сайты. Несмотря на то, что первые подобные атаки появились еще в августе 2012 года, никто не смог выявить целевую направленность атак именно на сервера на базе Apache.

Уязвимости в Plesk, cPanel и другом ПО для администрирования сервера представляют одну из возможностей для организации подобных атак. Исследователи не исключают также такие механизмы проведения атак, как взлом паролей, социальная инженерия и использование уязвимостей в недавно используемых приложениях и операционных системах.

Специалисты также не могут установить точное число инфицированных Darkleech сайтов. Вредоносная программа оценивает множество условий для определения времени атаки, т.е. включения вредоносного кода в веб-сайты. Посетители, которые используют IP адреса известных хостинг провайдеров и вендоров программ безопасности игнорируются, так же как и недавно атакованные пользователи или пользователи, которые не заходят на сайт по специальным поисковым запросам. Способность Darkleech внедрять уникальные ссылки также препятствуют изучению вредоносной программы.

Мэри Лендсмен, старший научный сотрудник безопасности Cisco Systems заявляет: «из-за того что ссылки генерируются автоматически случайным образом, стандартные средства не способны эффективно распознать их с помощью поисковых систем. К сожалению, природа Darkleech наряду с селективными механизмами атаки представляют определенные проблемы для локализации угрозы».

Вредоносный HTML-код встраивается в страницу с помощью тега «iframe» и обычно представлен отдельным адресом, например IP address/hex/q.php. Сайты, содержащие тэги iframe, которые нельзя просмотреть стандартными средствами просмотра HTML кода скорее всего инфицированы Darkleech.

Следует иметь ввиду, что несмотря на то что тэг обращается к IP/hex/q.php, вредоносная программа содержится по адресу IP/hex/hex/q.php.

В активном развитии

В сотрудничестве с инженером систем безопасности Cisco Systems Грегом Конклином Лендсмен провела исследования около 2000 зараженных веб-серверов, которые были инфицированы за февраль и первые 2 недели марта. Сервера, атакованные Darkleech размещаются в 48 странах, преимущественно в США, Великобритании и Германии.

Учитывая, что на одном веб-сервере размещаются, как правило, около 10 сайтов, за данный период было инфицировано 20 000 сайтов. Первые упоминания о Darkleech появились на блоге автора сервиса «Unmask Parasites» Дениса Синегубко еще в августе 2012 года. Cайт LA Times был инфицирован Darkleech в феврале 2013, а уже в марте о инфицировании сообщила компания Seagate, один из лидеров в производстве жестких дисков.

Этот подтверждает тот факт, что атака носит продолжительный характер. Лендсмен утверждает, что Darkleech инфицировала media.seagate.com, провайдером которого является Media Temple, Атака началась не позднее 12 февраля и была еще активной 18 марта. Официальные представители Seagate и LA Times заявили, угроза была ликвидирована, как только обнаружилось заражение.

Синегубко дал следующие комментарии: «Я постоянно получаю письма и комментарии к моему блогу о новых случая заражения. Иногда целью атаки становятся общие сервера с сотнями или даже тысячами сайтов на нем, а иногда – выделенные сервера с одним высоконагруженным веб- ресурсом».

Касаясь непосредственно вредоносных модулей, встраиваемых в веб-серверы Apache , Синегубко добавил: «С момента когда пользователи отослали первые образцы вредоносного кода в конце 2012 года, Darkleech постоянно развивается, а количество инфицированных серверов постоянно увеличивается (особенно принимая во внимание избирательность вируса, который атакует далеко не каждого посетителя)».

Лендсмен изучила 1239 зараженных сайтов, большинство из них работали под управлением Apache 2.2.22 или выше, в основном на дистрибутивах Linux. Darkleech используется мошеннические модули Apache для включения вредоносного кода в страницы сайтов и управления инфицированными ресурсами. Очистка сайта от угрозы вызывает определенные трудности, т.к. Darkleech получает управление протоколом SSH. Поэтому для успешной очистки и устранения угрозы администраторы сайта должны внести технические изменения и обновить контент.

Технический директор Securi Даниел Сид написал в Январе: «Мы заметили, что Darkleech видоизменяет двоичный код SSH для получения двухсторонней связи с сервером. Эти изменения позволяют не только обращаться к серверу напрямую, обходя традиционные средства защиты, но воровать сертификаты подлинности SSH для доступа к удаленным серверам».

Исследователи из многих организаций, включая известного разработчика средств защиты для ПК Sophos и популярного блога «Malware must die» также наткнулись на инфицированные Darkleech сайты. Они подчеркивают, что сайты, на которые перенаправляется посетитель, содержат вредоносный код из Blackhole exploit kit – самого мощного набора эксплойтов для уязвимости в Java, Adobe Flash, Adobe Reader и других популярных программ.

Один из пользователей прокомментировал ситуацию с Darkleech; «Без сомнения, злоумышленники долго и тщательно готовились к атаке, выбрав механизмы глубокого проникновения к корню сервера с помощью доступа shell. Теперь мы не можем доверять хостинг-провайдерам, которые не могут гарантировать безопасность размещенных на их оборудовании ресурсов. Настоятельно рекомендую администраторам отключить сервера, создать резервные копии и переустановить ПО, а также поменять логины и пароли, которые могли быть сворованы с помощью Darkleech».

Дежавю

Ситуация с Darkleech напоминает массовое заражение серверов Apache в 2008 году. Тогда сотни тысяч зараженных сайтов представляли опасность для посетителей. Основной проблемой в противостоянии данным видам угроз является то, что исследователи порой замечают только «верхушку айсберга». Защитные механизмы вредоносной программы и большое количество зараженных систем делают невозможным точное определение области заражения.

Сейчас нет единого мнения по поводу механизмов заражения серверов вирусом Darkleech. Следовательно, не существует и единого алгоритма защиты от вредоносной программы. Устранения угрозы является также очень сложной задачей, т.к. даже после удаления вредоносных модулей веб-сервера, могут оставаться руткиты, которые также позволят контролировать серверы.

Закончим статью словами Синегубко: «Darkleech- это скрытая инфекция. Она скрывается от администраторов, используя различные IP адреса и низкоуровневые серверный API. Она скрывается от повторных посетителей ресурса. Она постоянно меняет доменные имена, поэтому ее невозможно вычислить по этому критерию».

По материалам интернет-портала Ars Technica

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте