Sebuah rootkit yang tidak diketahui sebelumnya menginfeksi web server Linux dan menyuntikkan kode berbahaya ke halaman web yang disediakan oleh server yang terinfeksi. Rootkit itu ditemukan oleh pengguna dari security mailing list Full Disclosure, yang telah memposting observasinya, termasuk modul kernel yang mencurigakan, ke mailing list. Malware tersebut menambahkan iframe untuk setiap halaman web yang dilayani oleh sistem yang terinfeksi melalui proxy nginx - termasuk halaman error.
Siapa pun yang mengunjungi halaman web pada server kemudian diserang oleh sebuah halaman web khusus yang dimuat dalam iframe. Para kriminal biasanya menggunakan exploit kit seperti BlackHole untuk memeriksa sistem korban untuk menetapkan satu dari sejumlah kerentanan dalam Flash, Java dan aplikasi lainnya yang dapat dimanfaatkan. Setelah celah eksploitasi diidentifikasi,yang mana digunakan untuk menginstal malware pada sistem pengunjung. Web server pada akhirnya digunakan untuk mengalihkan pengguna ke web server lain yang kemudian dapat menginfeksi sistem mereka.
Perusahaan Anti-virus Kaspersky Lab telah menganalisis malware tersebut. Menurut mereka, rootkit yang telah dijuluki sebagai Rootkit.Linux.Snakso.a, dirancang untuk menargetkan sistem 64-bit dan telah dikompilasi untuk versi kernel 2.6.32-5 yang digunakan dalam Squeeze Debian. Rootkit menambahkan line
Setelah boot, ia menentukan alamat memori dari sejumlah fungsi kernel, yang kemudian menyusup kedalamnya. Hal ini memungkinkan untuk menyembunyikan diri dari pengguna dan memanipulasi lalu lintas jaringan server. Rootkit memperoleh instruksi penyebaran dari server command dan control. Menurut Kaspersky, rootkit mungkin masih dalam tahap pengembangan.
Pakar keamanan Georg Wicherski juga menganalisis rootkit, dan menunjukkan bahwa itu dikembangkan oleh seorang pemula yang belum memiliki banyak pengalaman dengan kernel. Menurut Wicherski, penyerang yang menyebarkan rootkit mungkin berbasis di Rusia.
Sumber: The H Open
Siapa pun yang mengunjungi halaman web pada server kemudian diserang oleh sebuah halaman web khusus yang dimuat dalam iframe. Para kriminal biasanya menggunakan exploit kit seperti BlackHole untuk memeriksa sistem korban untuk menetapkan satu dari sejumlah kerentanan dalam Flash, Java dan aplikasi lainnya yang dapat dimanfaatkan. Setelah celah eksploitasi diidentifikasi,yang mana digunakan untuk menginstal malware pada sistem pengunjung. Web server pada akhirnya digunakan untuk mengalihkan pengguna ke web server lain yang kemudian dapat menginfeksi sistem mereka.
Perusahaan Anti-virus Kaspersky Lab telah menganalisis malware tersebut. Menurut mereka, rootkit yang telah dijuluki sebagai Rootkit.Linux.Snakso.a, dirancang untuk menargetkan sistem 64-bit dan telah dikompilasi untuk versi kernel 2.6.32-5 yang digunakan dalam Squeeze Debian. Rootkit menambahkan line
insmod /lib/modules/2.6.32 5-amd64/kernel/sound/module_init.ko
ke skrip / etc / rc.local, yang memastikan bahwa modul berbahaya dijalankan setiap kali sistem boot.Setelah boot, ia menentukan alamat memori dari sejumlah fungsi kernel, yang kemudian menyusup kedalamnya. Hal ini memungkinkan untuk menyembunyikan diri dari pengguna dan memanipulasi lalu lintas jaringan server. Rootkit memperoleh instruksi penyebaran dari server command dan control. Menurut Kaspersky, rootkit mungkin masih dalam tahap pengembangan.
Pakar keamanan Georg Wicherski juga menganalisis rootkit, dan menunjukkan bahwa itu dikembangkan oleh seorang pemula yang belum memiliki banyak pengalaman dengan kernel. Menurut Wicherski, penyerang yang menyebarkan rootkit mungkin berbasis di Rusia.
Sumber: The H Open
Tidak ada komentar:
Posting Komentar