4月26日,Sucuri和ESET公司联合研究,发现近期Blackhole在攻击中使用了一种“精良”的apache后门—— Linux/Cdorked.A。

后门样本:cdorked.a.httpd.rar [禁止用于非法用途]

Linux/Cdorked.A后门除了修改了守护进程“httpd”外,不会在硬盘中留下任何线索,所有有关后门的信息都存放在服务器的共享内存中。攻击者会通过HTTP请求来发送后门的配置信息,不但会经过混淆处理,而且不会被常规的apache日志记录,从而减少被传统监控工具发现的可能。而配置文件信息也是存放在内存中,这意味着后门的C&C服务器信息不可见,使得取证分析更加复杂。

当访问被攻陷的的web服务器时,它不是简单的就被重定向到恶意网站,还会设置一个cookie,从而第二次访问的时候不会再重定向到恶意网站。以此减少被怀疑的风险。而且cookie对管理页面进行特别设置,不感染管理页面,后门会检查访问者的referrer字段,这个技术手段跟freebuf之前报道的Darkleech apache后门很类似 而事实上正是Sucuri和ESET持续跟踪Darkleech木马时发现了它有了新的这个变化。

两个安全公司在最近几个月里,发现了一些基于cPanel的受感染服务器上,恶意软件手法不再是增加模块,或者修改apache配置文件,而是开始替换Apache的守护进程文件httpd,此前安全公司Sucuri曾经建议使用“rpm -Va”、“rpm -qf”或“dpkg -S”来检查Apache的模块是否被修改了。然而cPanel把apache安装在/usr/local/apache上,不可以用上面提到的包管理工具命令来进行检查Apache二进制文件httpd是否被修改了。Sucuri公司跟踪到此类型攻击,把被修改的httpd提交给了ESET进行分析。下面请看详细的分析。

共享内存存储木马有关信息:

分析被修改的httpd发现,它会创建大约6M的共享内存,以此来存放配置信息,这个共享内存不但可以被所有Apache的子进程使用,而且设计者没有做限制,任何其他进程都可以访问到。如下图所示:

Darkleech木马升级:可能是最精良的apache后门 + 后门样本下载

通过HTTP请求控制木马:

攻击者有两种方法控制被植入后门的服务器。一个是通过反向连接的shell,一个是通过特殊的命令。两个方法都是通过HTTP请求来触发。

通过特殊的HTTP GET请求,就可以触发部署了反向连接后门的http服务器。请求是一个特制的地址,包括查询特定格式的字符串,包括hostname和端口。而请求者的ip是用于解密请求字符串的key(一个4byte的XOR key)。另外,在http头信息里X-Real-IP或X-Forwarded-For字段内的ip地址会覆盖作为异或key(XOR key)的客户端IP地址。因此研究人员可以伪造一个 X-Real-IP头信息,作为解密的key如 “\x00\x00\x00\x00” key 。最后,所有请求查询的字符串都会经过hex编码才发送给感染木马的web服务器。

Darkleech木马升级:可能是最精良的apache后门 + 后门样本下载

而由于httpd被hook了,所以这个被修改过的apache是不会把这种请求记录到log文件中。

重定向:

当用户访问受感染的web服务器,被重定向的时候,服务器的恶意软件会在返回的重定向内容中加入经过base64编码的信息,比如原始访问的URL,原始请求是否来自javascript等,服务器(正在存放恶意内容的服务器)以此判断可提供相应的payload。例如:

Location: hxxp://dcb84fc82e1f7b01. xxxxxxgsm.be/index.php?j=anM9MSZudmNiaW11Zj1jY3
Zja3FqdSZ0aW1lPTEzMDQxNjE4MjctMzYwNDUzNjUwJnNyYz0yMzImc3VybD13d3cuaW5mZWN0ZWRzZXJ2
ZXIuY29tJnNwb3J0PTgwJmtleT0xM0Q5MDk1MCZzdXJpPS9mb3J1bS93Y2YvanMvM3JkUGFydHkvcHJvdG
9hY3Vsb3VzLjEuOC4yLm1pbi5qcw==

经过解码后:

js=1&nvcbimuf=ccvckqju&time=1304161827-360453650&src=232&surl=www.infectedserver
.com&sport=80&key=13D90950&suri=/forum/wcf/js/3rdParty/protoaculous.1.8.2.min.js

其中surl参数显示来自哪个受感染的主机。suri显示原始的请求来源。

Sucuri公司的分析发现会被重定向到一些色情网站,有一些则重定向到Blackhole Exploit Kit。

设置cookie:

当重定向后,就会给来访的客户端设置一个cookie,以保证不会再被重定向。而疑似为管理页面的请求也会设置cookie,不会被重定向。木马会检查URL,server name,referer,如果有关管理的字符串,就不会发送恶意内容到管理者的website。这些字符串包括:‘*adm*’, ‘*webmaster*’, ‘*submit*’, ‘*stat*’, ‘*mrtg*’, ‘*webmin*’, ‘*cpanel*’, ‘*memb*’, ‘*bucks*’, ‘*bill*’, ‘*host*’, ‘*secur*’, ‘*support*’。如下图所示:

Darkleech木马升级:可能是最精良的apache后门 + 后门样本下载

应对:

ESET写了个脚本,让系统管理员可以检查共享内存的内容,以及把内容导出到一个文件中。因为病毒作者没有限制共享内存的访问,任何进程都可对木马创建的那段共享内存进行访问。

Sucuri则建议检查httpd的所在目录是否存在“open_tty”。

# grep -r open_tty /usr/local/apache/

如果在apache二进制文件中发现了open_tty则很可能已经收感染,因为原始的apache二进制文件不会调用open_tty。

目前调查仍未能清楚这些web服务器是如何被入侵的。有可能是SSH暴力破解。

更细节的分析请看:

freebuf相关报道:恶意软件Darkleech大肆感染Apache服务器

ESET报告:http://www.welivesecurity.com/2013/04/26/linuxcdorked-new-apache-backdoor-in-the-wild-serves-blackhole/

Sucuri报告:http://blog.sucuri.net/2013/04/apache-binary-backdoors-on-cpanel-based-servers.html

source

各种吐槽:

jazz 2013-05-02 1楼

服了,不服不行

死亡警察 2013-05-02 2楼

神器后门呀 —还是有编程底子的好–可以狂猥琐人家

Panni_007 (1级) 2013-05-02 3楼

表示真心是玩不明白….

冷冷的夜 2013-05-02 4楼

必须服,不服不成,全方位膜拜。。

大侠 2013-05-02 5楼

我见过一个最牛的后门,都不用钥匙,只要喊出芝麻开门就行。

lupus721 2013-05-03 6楼

除了佩服还是佩服~~

蹦达 (1级) 2013-05-05 7楼

膜拜下

mujj 2013-05-06 8楼

膜拜

不装x 2013-05-07 9楼

怎一个牛逼了得。

不过重定向太频繁了,还是会被发现。应该重定向规则更隐秘一点,只对固定ip,固定ip段,只对固定浏览器,固定操作系统,最好能保证只对一个人发起攻击,用来定点攻击比较有效。

Major (1级) 少校 2013-05-08 10楼

服了~~彻底服了““