SOS :: Security Operation Space
28 января, четверг, 00:00
|
Hot News:

Бесплатно раздаваемый зловред Symchanger оказался забэкдоренным

02 декабря 2020 г., среда, 14:15

Создатель Symchanger, нового PHP-инструмента для массового взлома сайтов, отдает его в пользование на безвозмездной основе. Как оказалось, это не совсем благотворительная акция: вирусописатель добавил в свой скрипт бэкдор, чтобы пожинать плоды его работы без особых трудозатрат.

Анализ вредоносного кода, проведенный в Sucuri, показал, что автор Symchanger не утруждал себя написанием кода с нуля. Он попросту позаимствовал скрипт, уже используемый рядом вредоносных программ, и присовокупил функциональность бэкдора. Новый зловред активно продвигается в профильной группе на Facebook вместе со ссылкой на видеоинструкцию по использованию.

Код Symchanger защищен несколькими слоями обфускации, поэтому пользователю будет трудно обнаружить бэкдор. Массовая компрометация сайтов, размещенных под одним и тем же хостинг-аккаунтом, осуществляется с помощью символьных ссылок (симлинков).

На взломанный сайт зловред устанавливается как файл symchanger.php. Остальные сайты того же пользователя он отыскивает по именам конфигурационных файлов — WordPress, Joomla, Drupal, WHMCS. Обнаружив совпадение с заданным списком, Symchanger генерирует симлинк для текстового файла (формат .txt в данном случае используется, чтобы файл можно было загрузить как PHP).

При наличии доступа к файлу /passwd (на некоторых хостах он ограничен) вредоносный скрипт читает его содержимое для определения пользовательской аудитории веб-сервера. Затем он выполняет перебор массивов по методу foreach, чтобы заполучить регистрационные данные всех пользователей. Создав симлинки для ассоциированных файлов конфигурации, зловред считывает информацию об установке SQL-соединения и подключается к базе данных, чтобы внести новую учетную запись администратора во все индивидуальные базы, до которых он сможет дотянуться.

Свой успех Symchanger показывает оператору в виде URL страницы регистрации сайтов, для которых был создан новый аккаунт администратора.

Добавленную функциональность бэкдора зловредный скрипт реализует, незаметно используя взломанный сервер для отправки email-сообщений на множество адресов. При этом он применяет пять разных шаблонов для передачи конфиденциальных данных — таких как URL активированного файла symchanger.php, список директорий, краденые учетные данные и т. п.

Эта информация обеспечивает получателям писем несанкционированный доступ к сайтам, скомпрометированным Symchanger. В итоге им не нужно самим взламывать серверы и устанавливать скрипт для сбора данных — достаточно просто дождаться сообщения, которое все это преподнесет им на блюдечке.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
13:15
12:15
10:15
08:15
06:15
15:15
14:15
13:15
12:15
08:15
07:15
07:15
06:15
15:15
13:15
11:15
07:15
07:15


© 2013—2021 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.299
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.