Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Ataque a Apache redirige tráfico a malware
Investigador en seguridad alerta que se están incrementando las apariciones de un tipo de ataque a servidores web Apache, por lo que ha publicado una herramienta gratuita desarrollada en Python para verificar la configuración de equipos que ofrecen un servicio web.
Un análisis efectuado a éste ataque muestra que el malwar
e usado está diseñado para no dejar huellas en los discos duros de los equipos afectados. Se trata de un archivo httpd modificado que funciona como puerta trasera al sistema, además redirige las peticiones HTTP hacia el conocido paquete de exploits Blackhole.
Las víctimas que son redirigidas por el servidor comprometido son registradas para que no sean redireccionadas por segunda ocasión. La redirección luce como una URL autentica, con una cadena de caracteres, codificada en base 64, usada por la puerta trasera para registrar parámetros que describen al cliente redirigido para asegurar que se entrega el payload correcto (por ejemplo, para identificar si originalmente se había solicitado un archivo de tipo Javascript).
Sin contar el archivo httpd modificado, todo lo demás asociado con el exploit existe solo en 6 MB de memoria compartida. Las instrucciones de configuración para la puerta trasera se envían a través de peticiones HTTP ofuscadas para evitar dejar rastro en las bitácoras.
Los analistas identificaron 23 comandos en el archivo binario, todos ellos con una longitud de dos caracteres (DU,ST,T1, entre otros). Los comandos son invocados a por el comando POST a una URL hecha a la medida que incluye la cabecera de la cookie “SECID=”.
El investigador que realizó el análisis señala que:
“Creemos que las URL para redirigir a los clientes son enviadas a la puerta trasera utilizando éste método. La información de la redirección será almacenada de forma cifrada en la región de la memoria compartida.”
Otras capacidades de los comandos incluyen:
- Establecer condiciones para las redirecciones
- Cambiar a listas blancas a los user agent
- Cambiar las direcciones IP a listas negras para evadir la detección
Debido a los permisos para el directorio compartido que configura el ataque, otros procesadores pueden acceder a él. La herramienta dump_dcorked_config.py verifica la presencia de las regiones de memoria compartida y hace un volcado de la información contenida en dicha memoria hacia un archivo para su posterior análisis.
