В одной из прошлых статей мы рассказывали о вредоносных редиректах на сайты в зоне *.org.in. Некоторое время назад, как видно на графике, число заражённых серверов резко выросло. Нам удалось разобраться, как происходит заражение.
Рисунок 1. Число вредоносных редиректов за последний месяц.
За время, прошедшее с момента предыдущей публикации, мы провели дополнительные исследования и выяснили новые подробности заражения.
Во всех случаях злоумышленники взламывали сервер, после чего подменяли исполняемый файл веб-сервера на заражённый. Для маскировки они изменяли дату и время создания заражённого файла на соответствующие атрибуты оригинального файла. Однако, как правило, оригинальный и заражённый файлы были разного размера.
Мы получили несколько заражённых образцов, один из которых является исполняемым файлом веб-сервера Nginx (SHA256: 36A22D244BCAEE9D7C7AC3EB9
По данным сервиса VirusTotal.com на 27.07.2012, эти вредоносные файлы не обнаруживаются ни одним антивирусным движком. Эти файлы также не детектируются ни одним из известных антируткитов для *nix. При отсутствующем Nginx подменяется исполняемый файл веб-сервера Apache. Что интересно, ни одного заражённого сервера под управлением ОС Microsoft Windows мы не зафиксировали.
Большинство зараженных серверов является VDS/VPS и выделеннными серверами различных хостинг-провайдеров. Новых заражений известных виртуальных хостингов этим вредоносным кодом с момента последней публикации мы не обнаружили.
Заражение компьютера посетителя сайта
Практически сразу после публикации предыдущей статьи вредоносный редирект видоизменился. Сейчас перенаправление происходит на адреса в зоне *.in, а сам GET-запрос имеет следующий вид:
hxxp://gntlny.in/index.php?time=071515061706613228 &src=17&surl=victim.site& sport=80&key=4CDE34F2&sur i=/victim.page
Видим, что в него добавлено два новых параметра – key и time. Несмотря на изменения, javascript-редиректор определяется антивирусом Sophos как Troj/JSRedir-DM.
Как и прежде, вредоносная страница устанавливает cookie, время действия которого – одни сутки:
HTTP/1.1 200 OK
Server: nginx/1.0.13
Date: Thu, 19 Jul 2012 07:51:16 GMT
Content-Type: text/html
Connection: close
Cache-Control: no-store, no-cache, must-revalidate
Expires: Thu, 19 Jul 2012 07:51:15 +0000
Set-Cookie: page1=1342684275; expires=Sat, 18-Aug-2012 07:51:15 GMT; path=/; domain=.smjijn.in
Set-Cookie: src=125; expires=Sat, 18-Aug-2012 07:51:15 GMT; path=/; domain=.smjijn.in
Set-Cookie: gpr=18; expires=Sat, 18-Aug-2012 07:51:15 GMT; path=/; domain=.smjijn.in
Set-Cookie: tkr=07190751641225387; expires=Sat, 18-Aug-2012 07:51:15 GMT; path=/; domain=.smjijn.in
Set-Cookie: tkri=2e492d254559bc67024b2fc829df63c5; expires=Sat, 18-Aug-2012 07:51:15 GMT; path=/; domain=.smjijn.in
Set-Cookie: tkrb=c6831f1b7ad22a41fe8649d6261ce5d6; expires=Sat, 18-Aug-2012 07:51:15 GMT; path=/; domain=.smjijn.in
Vary: Accept-Encoding
Цепочка заражения имеет вид:
Рисунок 2. Цепочка заражения.
В результате серверного редиректа браузер перенаправляется на страницу с вредоносным Javascript-редиректом index.php. Код обфусцированного редиректа не изменился:
Рисунок 3. JS-редирект в обфусцированном виде.
Алгоритм обфускации привязан к браузеру пользователя (при неверном значении User Agent деобфускация невозможна), что несколько затрудняет обнаружение вредоносного кода.
Рисунок 4. JS-редирект после деобфускации.
Браузер перенаправляется на страницу index2.php, которая открывает новое окно с адресом hxxp://dating-portal.net/aff.php?tt=0&t=onunload и перенаправляет пользователя на страницу скачивания эксплойт-пака main.php.
Рисунок 5. Часть кода страницы index2.php (открытие нового окна и редирект на эксплойт пак).
Следует отметить, что ранее злоумышленники использовали неизвестный эксплойт-пак, отдающий всего 2 вида эскплойтов для браузеров IE с 6 по 8 версию, теперь же вместо него используется популярный эксплойт-пак Blackhole.
Эксплойт-пак загружает в браузер пользователя несколько эксплойтов для широко известных уязвимостей, например:
https://www.virustotal.co
https://www.virustotal.co
Результатом является загрузка и запуск даунлоадера info.exe, который устанавливает на компьютер вредоносные программы, чтобы производить на нём действия, выгодные злоумышленникам.
https://www.virustotal.co
Как не допустить заражения сервера и вылечить его
- Пользуйтесь дистрибутивами веб-серверного ПО из первоисточников, по возможности собирайте его из оригинального исходного кода самостоятельно.
- После установки и обновления компонентов веб-сервера снимайте с них контрольные суммы и регулярно проверяйте, не изменились ли ваши файлы без вашего ведома. Как это сделать – написано, например, здесь. Помните, что контрольные суммы нужно снимать не только с директорий сайтов, но и с директорий, в которых лежат файлы веб-сервера.
- Вовремя обновляйте ваше веб-серверное ПО, чтобы в нём было меньше известных уязвимостей. Тщательно закрывайте неиспользуемые порты и сервисы. Используйте сложные логины и пароли. Не допускайте заражения рабочих станций, которые используются для работы с веб-сервером. Обо всём этом написано в соответствующем разделе Яндекс.Помощи.
- Чтобы вовремя узнавать о заражении своего сайта и быть в курсе актуальных векторов атак на веб-серверы, рабочие станции и мобильные устройства, можете воспользоваться нашим сервисом Яндекс.Вебмастер.
Мы хотим сказать отдельное спасибо за сотрудничество вебмастерам и системным администраторам, вместе с которыми мы разбирались в причинах заражения. Бороться с вредоносными программами лучше вместе! Если у вас есть любой подозрительный код, конфигурационные файлы и логи, относящиеся к данному виду заражения и не только, присылайте на анализ по адресу virus-samples@yandex-team.ru .
Команда Безопасного Поиска Яндекса