Обнаружен первый ботнет из инфицированных web-серверов

Отечественные разработчики сервиса Unmask Parasites, ориентированного на выявление зараженных троянскими вставками web-страниц, сообщили об обнаружении ботнет-сети, состоящей из инфицированных web-серверов, работающих под управлением Linux. Все зараженные web-серверы поддерживают обмен данными между узлами и составляют единый ботнет, функционирование которого контролируется из одного центра управления.

На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginx, ориентированный на обработку запросов, формируемых инфицированными страницами с троянскими JavaScript вставками. Основная задача обнаруженного ботнета - поддержание сети для доставки злонамеренного ПО на машины клиентов, пользующихся содержащими уязвимости версиями web-браузеров, поражение которых происходит при открытии инфицированных web-страниц.

Особое значение придается унификации - выполнению серверной части ботнета и заражающей web-страницы на одном хосте. Использование реально функционирующего домена в "iframe src" или "javascript src" вставке значительно повышает время жизни инфицирующей страницы, по сравнению с указанием внешних ссылок, и позволяет обойти некоторые средства антивирусной защиты, если серверный злонамеренный код обрабатывает запросы в том же домене, хотя и под другим номером порта.

В настоящий момент в ботнете зафиксировано только около сотни серверов, работающих под управлением различных дистрибутивов Linux. Сеть выглядит как первый прототип и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других операционных систем. Код работает с правами пораженного аккаунта хостинга. Точно путь внедрения кода пока не определено, но наиболее вероятны три варианта организации загрузки и запуска кода злоумышленника на сервере:

  * Использование широко известных уязвимостей в популярных web-приложениях (например, WordPress версии ниже 2.8.4);
  * Огранизация словарного подбора простых паролей;
  * Поражение троянским ПО одной из клиенских машин и последующая организация сниффинга FTP-паролей в локальной сети (именно так сейчас осуществляется получение паролей для подстановки троянских JavaScript вставок на сайты). 

Web-мастерам и владельцам сайтов настоятельно рекомендуется проконтролировать публикацию отчетов о наличии уязвимостей в используемых общедоступных web-приложениях, произвести установку всех рекомендуемых обновлений, проверить наличие вирусов на машинах в локальной сети и провести аудит используемых паролей. 

Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Обновление Windows 11 сломало защиту от шифровальщиков у Trend Micro

Опциональное накопительное обновление Windows, выпущенное на этой неделе, изначально предназначалось для устранения проблемы вылета приложений, но в итоге принесло с собой новые баги. Например, «отвалились» некоторые функциональные возможности продуктов Trend Micro.

Речь идёт об апдейте под номером KB5014019, который ломает функцию защиты от программ-вымогателей, реализованную в ИБ-продуктах от компании Trend Micro. О проблемах сообщили представители вендора:

«Компонент UMH, который используется рядом продуктов для защиты конечных точек и серверов, отвечает за расширенные функциональные возможности, среди которых можно отметить и защиту от шифровальщиков».

«Trend Micro в курсе проблем, с которыми клиенты могут столкнуться после установки опционального обновления Microsoft Windows 11 под номером KB5014019. Перезагрузив компьютер, вы можете увидеть, что драйвер Trend Micro UMH прекратил свою работу».

Среди использующих компонент UMH продуктов Trend Micro есть, например, Apex One 2019, Worry-Free Business Security Advanced 10.0, Apex One as a Service 2019, Deep Security 20.0, Deep Security 12.0 и Worry-Free Business Security Services 6.7.

Специалисты Trend Micro в настоящее время работают над фиксом, который должен подготовить пользователей к июньскому набору патчей и исключить проблемы с функциональными возможностями продуктов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru