Les chercheurs d'ESET et leurs homologues de la société Sucuri, ont analysé une nouvelle menace pesant sur les serveurs Web Apache. La menace est une porte dérobée très complexe et furtive utilisée pour générer du trafic vers des sites malveillants hébergeant des packs d'exploits Blackhole. Les chercheurs ont nommé cette porte dérobée, Linux/Cdorked.A et considèrent qu'il s'agit de la backdoor Apache la plus sophistiqué repérée jusqu'alors.
À ce jour, les chercheurs d'ESET affirme avoir identifié des centaines de serveurs Web attaqués grâce au système de télésurveillance et d'analyse dans le Cloud ESET LiveGrid.
« La porte dérobée Linux/Cdorked.A ne laisse pas de traces sur le disque dur autre que la modification d'un fichier « httpd », un processus démon utilisé par Apache. Toutes les informations relatives à cette backdoor sont stockées dans la mémoire partagée sur le serveur, ce qui rend difficile la détection et entrave son analyse, » explique Pierre-Marc Bureau, expert en sécurité chez ESET.
En outre, le code Linux/Cdorked.A prend d'autres formes pour éviter la détection, à la fois sur le serveur Web compromis et sur les navigateurs des visiteurs. « La configuration du backdoor est envoyée par l'attaquant en utilisant des requêtes HTTP qui ne sont pas seulement masquées, mais qui ne sont pas non plus enregistrées par Apache, ce qui réduit la probabilité de détection par les outils de surveillance conventionnels. La configuration est stockée dans la mémoire, ce qui signifie qu'aucune information de commande et de contrôle pour la backdoor n'est visible, ce qui rend complexe l'investigation, » ajoute Righard Zwienenberg, chercheur principal chez ESET.
Très populaire et répandu, le kit d'exploit Blackhole utilise de nouvelles failles dites « Zéro day » qui permettent de prendre le contrôle d'un système lorsque l'internaute visite un site qui est infecté par le kit Blackhole. Lorsqu'une personne visite un serveur web compromis, il n'est pas simplement redirigé vers un site Web malveillant ; un cookie Web est installé dans le navigateur de sorte que le code backdoor ne l'y renvoie pas une seconde fois. Le cookie web n'est pas installé dans les pages de l'administrateur : le code malveillant vérifie l'origine du visiteur et, si ce dernier est redirigé vers la page Web à partir d'une adresse URL qui a certains mots clés, tels que « admin » ou « cPanel », aucun contenu malveillant n'est servi.
ESET invite les administrateurs système à contrôler dès que possible leurs serveurs et à vérifier qu'ils ne sont pas confrontés à cette menace. Un outil de détection gratuit comprenant des instructions détaillées sur la façon de vérifier la présence de cette backdoor et une analyse technique complète du code Linux/Cdorked.A sont disponibles sur le site WeLiveSecurity.com ; la nouvelle plate-forme d'ESET qui contient les dernières informations et des analyses sur les cyber-menaces et des conseils de sécurité utiles. (voir le lien : Linux/Cdorked blog post.)
D'autres informations sur le code Linux/Cdorked.A sont également disponibles à l'adresse de Sucuri blog
