Des chercheurs en cybersécurité ont récemment découvert une menace avancée avec un ensemble de capacités malveillantes, y compris ransomware.
Surnommé Ensiko, le malware est un shell web PHP avec des capacités de ransowmare, qui est capable de cibler Linux, Fenêtres, et machines macOS. Cependant, il peut également cibler toute autre plateforme avec PHP installé, TrendMicro chercheurs dire.
Logiciel malveillant Ensiko: Présentation technique
Comme nous venons de parler, Ensiko est un shell web PHP avec diverses capacités. Le malware peut contrôler à distance un système compromis, et accepter les commandes des acteurs de la menace pour exécuter divers scénarios malhonnêtes.
Ensiko “peut également exécuter des commandes shell sur un système infecté et renvoyer les résultats à l'attaquant via un reverse shell PHP.” Le malware peut scanner les serveurs pour détecter la présence d'autres webshells. D'autres fonctionnalités incluent la dégradation de sites Web, envoyer des e-mails en masse, téléchargement de fichiers distants, divulgation d'informations sur le serveur concerné, attaques par force brute contre le protocole de transfert de fichiers (FTP), cPanel, et Telnet, écrasement de fichiers avec des extensions spécifiées, parmi d'autres.
Le malware peut être protégé par mot de passe. Pour l'authentification, il affiche une page introuvable avec un formulaire de connexion masqué. Les autres capacités d'Ensiko comprennent:
Index Priv: Téléchargez ensikology.php depuis pastebin
Ransomware: Crypter les fichiers à l'aide de RIJNDAEL 128 avec mode CBC
CGI Telnet: Télécharger la version CGI-telnet 1.3 de pastebin;
CGI-Telnet est un script CGI qui vous permet d'exécuter des commandes sur votre serveur Web.
Coque inversée: Shell inversé PHP
Mini coquille 2: Déposer Mini Shell 2 charge utile Webshell dans ./tools_ensikology/
IndoXploit: Déposez la charge utile Webshell IndoXploit dans ./tools_ensikology/
Nuage sonore: Afficher le nuage sonore
Carte DDOS en temps réel: Carte DDoS de Fortinet
Encoder / Décoder: Encoder / décoder le tampon de chaîne
Fucker en mode sans échec: Désactiver le mode sans échec PHP
Liste de Dir interdite: Désactiver les index de répertoires
Mass Mailer: Bombardement postal
cPanel Crack: CPanel à force brute, ftp, et telnet
Analyse de la porte dérobée: Vérifiez le serveur distant pour le shell Web existant
Détails de l'exploit: Afficher les informations système et la gestion des versions
Scan de serveur distant: Vérifiez le serveur distant pour le shell Web existant
Téléchargeur de fichiers à distance: Télécharger le fichier depuis un serveur distant via CURL ou wget
Encodage / décodage hexadécimal: Encodage / décodage hexadécimal
Analyseur d'accès anonyme FTP: Rechercher Anonymous FTP
Déface de masse: Dégradation
Configuration du système Config Grabber Grab telle que «/ etc / passwd»
symlink: lien
Détournement de cookies: Détournement de session
Secure Shell: Shell SSH
Écrasement de masse: Réécrire ou ajouter des données au type de fichier spécifié.
Gestionnaire FTP: Gestionnaire FTP
Vérifiez Steganologer: Détecte les images avec l'en-tête EXIF
Administrateur: Téléchargez la gestion de la base de données Adminer PHP dans le ./tools_ensikology/
Informations PHP: Informations sur la configuration de PHP
Byksw Traduire: Remplacement de personnage
Suicide: Suppression automatique
Quant aux capacités du ransomware, Ensiko utilise PHP RIJNDAEL_128 avec le mode CBC pour crypter les fichiers dans un répertoire et sous-répertoires web shell. Il ajoute les noms de fichiers avec le .derrière extension, L'analyse de TrendMicro révèle.
Ensiko est une menace avancée qui semble avoir été créée pour l'administration à distance. Il a des capacités de ransomware, et peut crypter des fichiers sur un serveur infecté via l'algorithme de cryptage RIJNDAEL.