Login
Login-Name Passwort


 
Newsletter
Werbung

Mo, 29. April 2013, 08:26

Software::Netzwerk

Manipulierte Apache-Server im Umlauf

Nachdem vor wenigen Wochen Berichte über manipulierte Apache-Module unter dem Namen »Darkleech« bekannt wurden, taucht jetzt ein noch weitergehender Angriff auf Apache-Server auf.

Apache Software Foundation

Der Netzwerkausrüster Cisco hatte Darkleech publik gemacht. Mehrere Sicherheitsexperten waren vorher auf Teile eines Angriffsvektors gestoßen, ohne das gesamte Bild zu sehen. Seit dem Sommer 2012 waren eine große Anzahl Apache-Server von der Server-Malware Darkleech kompromittiert worden. Cisco hatte bei einer Untersuchung entdeckt, dass alleine in den ersten Wochen des Jahres 2013 rund 2000 Server manipuliert worden waren, um die vermutlich mehr als 20000 Seiten, die von diesen Servern ins Netz gestellt werden, selektiv mit Malware zu infizieren.

Jetzt berichtet das Sicherheitsblog der Firma Sucuri, mit »Linux/Cdorked.A« sei eine noch ausgeklügeltere Variante des gleichen Schemas aufgetaucht. Waren bereits bei Darkleech bevorzugt Server angegriffen worden, die über eine der bekannten Administrationswerkzeuge wie beispielsweise Plesk oder CPanel gesteuert werden, so befällt auch die neue Variante hauptsächlich Server mit CPanel. Dem Admin-Frontend wird dabei eine manipulierte Binärdatei des httpd untergeschoben. Da somit die Paketmanager der Distributionen umgangen werden, greifen hier deren Verifikationsmechanismen wie beispielsweise ein Prüfsummenabgleich nicht. Auch der Zeitstempel hilft bei der Entdeckung nicht weiter, dieser ist gefälscht und zeigt den korrekten Wert der Original-Datei. Das manipulierte Paket ist außerdem mit dem Attribut immutable versehen und kann ohne Zurücksetzen dieses Attributs mittels des Befehls chattr nicht entfernt werden.

Der so manipulierte Apache wird von einem Command & Control-Server über spezielle HTTP-Requests gesteuert, die nicht in den Server-Logs auftauchen. Ein Indiz für einen Befall mit Linux/Cdorked.A ist lediglich die Tatsache, dass während des einmal täglich stattfindenen Kontakts mit dem Steuer-Server die normale HTTP-Verbindung blockiert zu sein scheint.

Über eine Backdoor wird der Schadcode geladen und konfiguriert. Dabei befindet sich der gesamte Code jederzeit in einem 6 MB großen Shared-Memory-Segment, wo er schwer zu entdecken ist. Weitere Spuren im System hinterlässt die Backdoor nicht.

Bemerkenswert bei dieser Art von Angriff ist, dass weder bei Darkleech noch bei Linux/Cdorked.A klar ist, wie die Server ursprünglich infiziert werden. Experten gehen davon aus, dass hier viel Geld und exzellente Programmierer am Werk sind, was bei den Experten die Vermutung aufkommen lässt, dass das wahre Ziel dieser Malware noch nicht offenbar ist und sich die Angreifer noch in der Testphase befinden. Die bisherigen Ziele bewegen sich im Rahmen des üblichen Pharma-Spam und Malware-Vertriebs und rechtfertigen einen solchen Aufwand nicht.

Eine detaillierte Analyse der verwendeten Backdoor-Mechanismen ist im Blog von ESET nachzulesen. Dort findet man auch ein Tool, um einen Befall von Servern mit Linux/Cdorked.A zu verifizieren.

Werbung
Kommentare (Insgesamt: 10 || Alle anzeigen || Kommentieren )
Re[2]: Prüfsummen des Paketmanagements (1ras, Mo, 29. April 2013)
Re: Prüfsummen des Paketmanagements (kamome umidori, Mo, 29. April 2013)
Prüfsummen des Paketmanagements (1ras, Mo, 29. April 2013)
Re: Web-Server = IIS (Sponge, Mo, 29. April 2013)
Re: Web-Server = IIS (haha, Mo, 29. April 2013)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung