Tag Archives: Linux.Cdorked

25,000 Servidores Linux y Unix han sido comprometidos en la OperaciĆ³n Windigo

      No Comments on 25,000 Servidores Linux y Unix han sido comprometidos en la OperaciĆ³n Windigo

Recientemente, varios investigadores en seguridad presentaron un documento que describe una operación larga y compleja, denominada “Operación Windigo”. Desde 2011, año en que comenzó esta campaña, más de 25,000 servidores Linux y Unix han sido comprometidos para obtener las credenciales Secure Shell (SSH) con el fin de redireccionar a los usuarios web hacia contenido malicioso y para distribuir spam. Organizaciones muy conocidas, como cPanel y Fundación Linux han sido confirmadas como víctimas. Los sistemas operativos que han sido blanco de estos ataques incluyen a OS X, OpenBSD, FreeBSD, Microsoft Windows y varias distribuciones de Linux. El documento señala que Windigo es responsable de enviar diariamente un promedio de 35 millones de mensajes spam. Adicionalmente, más de 700 servidores Web han redireccionado a más de 500,000 visitantes diariamente hacia contenidos maliciosos.

Este documento enlista tres principales componentes maliciosos (detección de nombres de ESET):

• Linux/Ebury – un backdoor OpenSSH que se utiliza para controlar servidores y robar credenciales.

• Linux/Cdorked – un backdoor HTTP utilizado para redireccionar tráfico Web.

• Perl/Calfbot – un script Perl utilizado para enviar spam.

Las consistentes campañas de los agresores se han convertido en algo común. Con los recursos adecuados, motivación y deseo, quienes atacan pueden obtener recompensas importantes por estas acciones. Dichas actividades tienen el objetivo de atacar organizaciones específicas para identificar y filtrar información delicada, pero el objetivo nuevamente ha sido económico, a través de redirecciones Web, spam y descargas automáticas.

Protección de Symantec

Los clientes de Symantec están protegidos contra el malware utilizado en la Operación Windigo con las siguientes firmas:

AV

IPS

Más información sobre la investigación acerca de la Operación Windigo está disponible en el blog de ESET.

25,000 ??? Linux/UNIX ????????? Operation Windigo

      No Comments on 25,000 ??? Linux/UNIX ????????? Operation Windigo

「Operation Windigo」というコードネームの大規模かつ複雑な攻撃活動について報告したホワイトペーパーが、セキュリティ研究者によって公開されました。この攻撃が始まった 2011 年以来、25,000 台を超える Linux/UNIX サーバーが侵入を受けて、SSH(Secure Shell)資格情報を盗み出された結果、Web にアクセスしたユーザーが悪質なコンテンツにリダイレクトされ、スパム送信を送り付けられるようになりました。cPanel や Linux Foundation といった著名な組織も被害を受けていたことが確認されています。標的となるオペレーティングシステムは、OS X、OpenBSD、FreeBSD、Microsoft Windows、そして Linux の各種ディストリビューションです。発表されたホワイトペーパーによると、Windigo は毎日平均 3,500 万通のスパムメッセージを送信しています。このスパム活動のほかに、700 台以上の Web サーバーが現在、1 日当たりおよそ 50 万の訪問者を悪質なコンテンツにリダイレクトしています。

このホワイトペーパーでは、悪質なコンポーネントとして主に次の 3 つが挙げられています(名前は ESET 社の検出名)。

  • Linux/Ebury – サーバーを制御し資格情報を盗み出すために使われる OpenSSH バックドア
  • Linux/Cdorked – Web トラフィックのリダイレクトに使われる HTTP バックドア
  • Perl/Calfbot – スパムの送信に使われる Perl スクリプト

悪質な攻撃者による長期的な攻撃活動も、最近では一般的になってきました。適切なリソースを持ち、何らかの動機や欲求があれば、攻撃者は労力に見合った十分な見返りを得ることができます。特定の組織を狙って、重要な情報を選定して盗み出すことを目的とする攻撃もありますが、Operation Windigo の目的は、Web リダイレクト、スパム、ドライブバイダウンロードによる金銭的な利益です。
 

シマンテックの保護対策

シマンテック製品をお使いのお客様は、以下のシグネチャによって、Operation Windigo で使われているマルウェアから保護されています。

ウイルス対策

侵入防止システム

ESET 社によって確認された Operation Windigo の詳しい内容は、ESET 社のブログで公開されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

25,000 Linux and Unix Servers Compromised in Operation Windigo

      No Comments on 25,000 Linux and Unix Servers Compromised in Operation Windigo

Security researchers have released a paper documenting a large and complex operation, code named “Operation Windigo”. Since the campaign began in 2011, more than 25,000 Linux and Unix servers were compromised to steal Secure Shell (SSH) credentials, to redirect Web visitors to malicious content, and to send spam. Well-known organizations such as cPanel and Linux Foundation were confirmed victims. Targeted operating systems include OS X, OpenBSD, FreeBSD, Microsoft Windows, and various Linux distributions. The paper claims Windigo is responsible for sending an average of 35 million spam messages on a daily basis. This spam activity is in addition to more than 700 Web servers currently redirecting approximately 500,000 visitors per day to malicious content.

The paper lists three main malicious components (ESET detection names):

  • Linux/Ebury – an OpenSSH backdoor used to control servers and steal credentials
  • Linux/Cdorked – an HTTP backdoor used to redirect Web traffic
  • Perl/Calfbot – a Perl script used to send spam

Lengthy campaigns by malicious attackers have become commonplace. With the appropriate resources, motivation, and desire, attackers can obtain significant rewards for their efforts. While some campaigns focus on targeting specific organizations to identify and exfiltrate sensitive information, the goal here was financial gain, by way of Web redirects, spam, and drive-by-downloads.
 

Symantec protection

Symantec customers are protected against malware used in Operation Windigo with the following signatures:

AV

IPS

More details on ESET’s discovery of Operation Windigo is available on their blog.

Web ??????????

      No Comments on Web ??????????

過去数カ月間、Web サーバーが改ざんされ、そこでホストしているすべての Web サイトに悪質なリダイレクト機能がインジェクトされるケースの増加が確認されています。このブログで以前にご報告した悪質な Apache モジュール(Linux.ChaproTrojan.Apmod)もその一例でした。新たな例としては Linux.Cdorked があり、これについてはセキュリティ企業 ESET 社もブログ記事を掲載しています。

Linux.Cdorke の場合、悪質な Apache モジュールを設定リストに追加するのではなく、メインの httpd バイナリファイルを、改ざんしたバージョンに置き換えます。これにより、Linux.Cdorke は特殊な要求に反応し、応答を改ざんできるようになります。

http デーモンファイルを改ざんすることによって、昔ながらの逆接続シェルを通じて、または完全に共有メモリに格納されている設定を変更する特殊な HTTP 要求を通じて、制御が可能になります。要求文字列から解析されるコマンドトークンとしては、”DU”、”ST”、”T1″、”D1″ など 23 種類が特定されています。これらのコマンドが共有メモリのセクションを改ざんし、ブラックリストやリダイレクト先アドレスを変更したり、その他の機能を実行したりします。Linux.Cdorke の最大の狙いは、すでに述べたように、ホストされているあらゆる Web サイトにアクセスしたユーザーを別のサイトにリダイレクトすることです。このリダイレクトで、悪用ツールキットが仕込まれているドライブバイダウンロードのサイトやスパムサイトに誘導し、トラフィックを生成することができます。ブラックリストへの登録をすり抜けるためにリダイレクト先の URL が頻繁に更新されることは、言うまでもありません。

リダイレクトが発生するのは、特定の条件が満たされた場合に限られます。つまり、アクセス元の IP アドレスがブラックリストに載っていないこと、URI が管理ページに関連する特定のキーワードに一致しないこと、ユーザーエージェントがブラックリストに載っていないこと、クライアントに以前リダイレクトしたときの cookie がないこと、という条件があります。管理者のローカル IP アドレスはブラックリストに載っている場合が多く、アクセス先の URI もブラックリストに載っているので、管理者は悪質なサイトにリダイレクトされません。この点でも、Web サイトの管理者が感染を突き止めるのは難しくなります。

Explanation_Image_599px.png

図 1. 攻撃の特徴

この攻撃は、たとえば Web サイトのコンテンツ管理システム(CMS)に対する SQL インジェクション攻撃などを利用して悪質な iframe を静的な HTML Web サイトにインジェクトする通常の方法より、明らかに高度なものです。Web ページは処理中に改ざんされるので、ファイルが変更されていないかどうかを検証するために FTP 経由でサーバーにログインしても、改ざんがあったという証拠は得られません。そのレベルでは実際に改ざんは発生していないからであり、感染の痕跡を特定することは困難です。

しかも、この手口は何重にも巧妙になっています。サーバーにホストされている Web サイトはどれもデフォルトで感染しているためで、短時間で多数の被害者が出るおそれがあります。また、設定情報はすべて共有メモリセクションに保管されており、特殊なコマンド要求は Web サーバーのログにも残らないため、Linux.Cdorked はきわめて高いステルス性を備えています。そのため、感染しても長期にわたって見過ごされてしまう可能性があります。このタイプの攻撃は、今後も増えると予測されます。

攻撃者が、この Web サーバーにそもそも最初にどうやってアクセスできたのかという疑問に対しては、多くの答えが考えられます。これまでにも、cPanel や Plesk などの管理フレームワークの脆弱性を悪用することによってアクセスを許してしまった例がありました。もちろん、多くの場合に攻撃者が試すように、これらのパネルや SSH に対してパスワードの推測が実行された可能性もあります。いつものように、管理者はシステムを最新の状態に保ち、監視を続けるようにしてください。MD5 のハッシュ値をベンダーから提供されている正常なバイナリのリストと比較するか、または Debian プラットフォームであれば ‘rpm-verify’ などのコマンドを使って、Web サーバーのバイナリを検証することもお勧めします。ただし、攻撃者がサーバーにアクセスできることを忘れてはなりません。システムに残る痕跡すら改ざんされているかもしれないということです。

シマンテックは、このような悪質なリダイレクト攻撃からお客様を保護するために、IPS とウイルス対策の各種シグネチャを提供しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

When Web Servers Serve Evil

      No Comments on When Web Servers Serve Evil

In the last few months, we have witnessed a rise in the number of cases of modified Web servers that inject malicious redirections into every website that it hosts. One example was the malicious Apache module (Linux.Chapro and Trojan.Apmod) that we blo…