Cybersecurity-forskere opdagede for nylig en avanceret trussel med et sæt ondsindede egenskaber, herunder ransomware.
Døbt Ensiko, malware er en PHP web shell med ransowmare kapaciteter, som er i stand til at målrette mod Linux, Vinduer, og macOS maskiner. Men, det kan også målrette mod enhver anden platform med PHP installeret, TrendMicro forskere sige.
Ensiko Malware: Teknisk oversigt
Som netop nævnt, Ensiko er en PHP web shell med forskellige muligheder. Malware kan kontrollere et kompromitteret system eksternt, og acceptere kommandoer fra trusselsaktører om at udføre forskellige ondsindede scenarier.
Ensiko “kan også udføre shell-kommandoer på et inficeret system og sende resultaterne tilbage til angriberen via en PHP-omvendt shell.” Malware kan scanne servere for tilstedeværelse af andre webshells. Andre muligheder inkluderer forskydning af websteder, sender masse-e-mails, download af eksterne filer, afsløring af oplysninger om den berørte server, brute-force-angreb mod filoverførselsprotokol (FTP), cPanel, og Telnet, overskrive filer med specificerede udvidelser, blandt andre.
Malware kan være adgangskodebeskyttet. Til godkendelse, det viser en Not Found side med en skjult login formular. Andre muligheder inkluderer Ensiko:
Priv-indeks: Download ensikology.php fra pastebin
Ransomware: Krypter filer ved hjælp af RIJNDAEL 128 med CBC-tilstand
CGI Telnet: Download CGI-telnet version 1.3 fra pastebin;
CGI-Telnet er et CGI-script, der giver dig mulighed for at udføre kommandoer på din webserver.
Omvendt skal: PHP omvendt skal
Mini Shell 2: Drop Mini Shell 2 webshell nyttelast i ./tools_ensikology/
IndoXploit: Drop IndoXploit webshell nyttelast i ./tools_ensikology/
Sound Cloud: Vis lydsky
Realtid DDOS-kort: Fortinet DDoS-kort
Encode / Decode: Koder / dekoder strengbuffer
Safe Mode Fucker: Deaktiver PHP Safe Mode
Dir List Forbidden: Sluk for katalogindekser
Mass Mailer: Mail bombning
cPanel Crack: Brute-force cPanel, ftp, og telnet
Bagdørscanning: Kontroller ekstern server for eksisterende web shell
Udnyt detaljer: Vis systeminformation og versionering
Fjernserver Scan: Kontroller ekstern server for eksisterende web shell
Remote File Downloader: Download fil fra fjernserver via CURL eller wget
Hex-kode / dekode: Hex-kode / dekode
FTP Anonym Access Scaner: Søg efter Anonym FTP
Massedeface: defacement
Config Grabber Grab-systemkonfiguration som “/ etc / passwd”
symlink: link
Cookie hijack: Session hijacking
Secure Shell: SSH Shell
Masseoverskrivelse: Omskriv eller tilføj data til den specificerede filtype.
FTP Manager: FTP Manager
Tjek Steganolog: Registrerer billeder med EXIF-overskrift
Adminer: Download Administrator PHP-databasestyring til ./tools_ensikology/
PHP Info: Oplysninger om PHP's konfiguration
Byksw Oversæt: Tegnudskiftning
Selvmord: Self-delete
Hvad angår ransomware-mulighederne, Ensiko bruger PHP RIJNDAEL_128 med CBC-tilstand til at kryptere filer i et web-shell-bibliotek og undermapper. Det tilføjer filnavne med .bag udvidelse, TrendMicros analyse afslører.
Ensiko er en avanceret trussel, der ser ud til at være skabt til fjernadministration. Det har ransomware-kapaciteter, og kan kryptere filer på en inficeret server via RIJNDAEL-krypteringsalgoritmen.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: