En bagdør mekanisme til distribution af tusindvis af pirat temaer og plugins til Joomla, WordPress, og Drupal CMS'er er for nylig blevet spottet i naturen. Udviklere har fundet, at CryptoPHP hacker operatører har brugt det til at bryde ind i C&C (kontrol og kommando) servere og inficere mere end 23,000 af IP-adresser med truslen.
Backdoor Scope
Oplysninger om omfanget af truslen bliver indsamlet af FOX IT-sikkerhed selskab i samarbejde med den schweiziske sikkerhed blog Abuse.ch, Shadowserver / https://www.shadowserver.org/wiki/, og Spamhaus organisation. Efter at have analyseret de mest aktive servere, Forskerne bemærkede, at de IP-adresser, som er i kontakt dem mindske, antallet nå 16,786 på November, 24th.
Man skal have i tankerne, at oplysningerne ikke kan være helt korrekt, selvom. De webservere ramte kan være vært for forskellige hjemmesider, samt malware, og kan inficere flere internetsider af et websted, der rent faktisk kunne gøre deres nummer større.
Analysen viser, at de fleste af de inficerede adresser er i USA, vide om 8,657 inficerede IP'er hidtil. Det næste sted, med langt mindre infektioner selvom, er Tyskland med 2877 IP'er.
Backdoor Varianter og teknikker
Cirka 16 forskellige versioner af CryptoPHP, sprede pirat temaer og plug-ins til content management systemer er blevet spottet af Fox IT hidtil. Den første går tilbage til september, 2013 og senest er CryptoPHP 1.0, fundet den 12. november i år. En meget interessant ting skete sidste søndag (23rd November) - Mange af ondskab spredning sites forsvandt, kun at blive vist tilbage på mandag (24th November), indeholder den nye version af malware. De er stadig er aktiv i dag.
I en rapport om emnet Fox IT anfører, at CryptoPHP bruger en teknik, ligner den ene søgemaskiner bruger til at indeksere indhold. Den malware registrerer, om den besøgende på siden er en web crawler og injicerer et link eller en tekst i de berørte sider, ved hjælp af Blackhat SEO malware.
Den Blackhat SEO (Search Engine Optimization) er en teknik, der sædvanligvis anvendes til at øge en hjemmeside rang, uden om de lovlige søgemaskiner regler. At være i strid med de bedste søgemaskine praksis kan føre til forbud af hjemmesiden, ved hjælp af Blackhat SEO.
Hvem er det?
Forskere mener, at den person,, stående bag dette angreb er baseret i Chisinau, Moldovas hovedstad. Dette står på, at et brugernavn ” chishijen12″ er fundet, IP er baseret i Moldova og være aktiv siden december, 2013. Brugeren kan gemme sig bag VPN eller en proxy, selvfølgelig.
Det er også kendt, at malware bruger en offentlig RSA sikkerhedsnøgle til kryptering af kommunikationen mellem offeret og kontrol & kommando server. Hvis serveren taget ned, kommunikationen fortsætter via e-mail. Hvis det er lukket ned samt, Backdoor kan styres manuelt uden brug C&C server.
Fox IT har skabt to Python scripts for brugerne at afgøre, om de har Backdoor. Begge er uploadet på fildeling platform GitHub. En af dem er til at bestemme, om du har truslen, den anden til at scanne alle dine filer. De omfatter fjernelse yderligere administrative konti og fjernelse af forældede certifikater.
Selv om disse metoder bør være nok, Forskerne anbefaler at bruge en ren CMS kopi, bare for at sikre, at du ikke har en Backdoor.