I ricercatori di sicurezza di Securi hanno recentemente pubblicato un post circa la scoperta di una nuova backdoor per Apache dal nome Linux/Cdorked.A.
Tale backdoor, di difficile rilevazione, permette agli attacker di manipolare il Server e le pagine da esso servite eseguendo redirect verso siti malevoli o injection di codice malevolo nelle pagine servite.
La backdoor è stata definita una delle più sofisticate mai individuate in quanto sostituisce interamente il binario di Apache (httpd) modificandolo in modo tale che non lasci traccia di tutte le operazioni malevole effettuate.
Già alcuni mesi fa era stata individuata una versione meno evoluta di backdoor per Apache sempre mirata a modificare l’output delle pagine con l’aggiunta di codice malevolo. Ne abbiamo parlato a questo articolo.
Linux/Cdorked.A risulta essere molto più evoluto ed è configurato per accettare in input 23 diversi comandi sia per autoaggiornarsi, sia per cambiare la tipologia di codice da iniettare.
I ricercatori di Securi in collaborazione con lo staff di ESET hanno analizzato a fondo il comportamento di questa backdoor individuando le seguenti caratteristiche:
- esegue tutto nella memoria condivisa senza intaccare il file system così da rendere altamente difficile individuare la presenza della backdoor
- i comandi inviati al server dagli attacker sono offuscati così da non essere loggati
- sul server infetto viene installata una reverse backdoor attivabile tramite appositi comandi inviati via GET
Al fine di rilevare la presenza o meno della backdoor sul proprio server è stato realizzato uno script in Python che provvede ad analizzare la presenza di Linux/Cdorked.A nella memoria condivisa. Potete scaricare lo script dal link sottostante:
Download script per analisi infezione Linux/Cdorked.A
Questo quanto dichiarato da Securi:
“As previously mentioned, the permissions on the shared memory allocation are loose. This allows other process to access to memory. We have made a free tool (dump_cdorked_config.py) to allow systems administrators to verify the presence of the shared memory region and dump its content into a file. We also recommend using debsums for Debian or Ubuntu systems and `rpm–verify` for RPM based systems, to verify the integrity of your Apache web server package installation. (However, remember to temper this advice with the reality that the package manifest could have been altered by an attacker.) Checking for the presence of the shared memory is the recommended way to make sure you are not infected. We would be interested in receiving any memory dumps for further analysis.”
L’analisi di questi casi è ancora in corso e non appena ci saranno novità provvederemo ad aggiornarvi.
FONTI: SecurityAffairs
