Een Backdoor mechanisme voor de distributie van duizenden piraten thema's en plug-ins voor Joomla, WordPress, en Drupal CMS is onlangs gespot in het wild. Ontwikkelaars hebben ontdekt dat CryptoPHP hacker exploitanten het gebruikt hebben in te breken in C&C (controle en commando) servers en infecteren meer dan 23,000 van IP-adressen met de dreiging.
Backdoor Scope
Informatie over de omvang van de bedreiging wordt verzameld door de FOX IT security bedrijf in samenwerking met de Zwitserse security blog Abuse.ch, Shadowserver / https://www.shadowserver.org/wiki/, en Spamhaus organisatie. Na analyse van de meest actieve servers, onderzoekers opgevallen dat de IP-adressen die zijn contact met hen te verminderen, het nummer bereiken 16,786 november, 24th.
Men moet in gedachten hebben dat de informatie maar niet helemaal juist kan zijn. De webservers getroffen kunnen hosten diverse websites, evenals malware, en kan meerdere internetpagina's van een website die kon eigenlijk hun aantal groter te maken infecteren.
Uit de analyse blijkt dat het grootste deel van de besmette adressen zijn in de Verenigde Staten, weten over 8,657 geïnfecteerde IP's tot nu toe. De volgende plaats, met hoewel veel minder infecties, is Duitsland met 2877 IPs.
Backdoor Varianten en Technieken
Over 16 verschillende versies van CryptoPHP, verspreiden piraat thema's en plug-ins voor content management systemen zijn gespot door Fox IT dusver. De eerste dateert van september, 2013 en de laatste is CryptoPHP 1.0, gevonden op 12 november van dit jaar. Een zeer interessant ding gebeurde afgelopen zondag (23rd november) - Veel van de boosaardigheid verspreiden plaatsen verdwenen, om daarna weer op maandag (24november), met de nieuwe versie van de malware. Ze zijn nog steeds vandaag de dag actief.
In een rapport over het onderwerp Fox IT staat dat CryptoPHP maakt gebruik van een techniek, die lijkt op de één zoekmachines gebruik te indexeren inhoud. De malware detecteert of de bezoeker van de pagina is een web crawler en injecteert een link of een tekst in het getroffen pagina's, met behulp van de Blackhat SEO malware.
De Blackhat SEO (Search Engine Optimization) is een techniek die wordt meestal gebruikt om een website rang te verhogen, het omzeilen van de legitieme zoekmachines regels. In strijd is met de beste zoekmachine praktijken kunnen leiden tot een verbod van de website, met behulp van de Blackhat SEO.
Who Is It?
Onderzoekers denken dat de persoon, die achter deze aanval is gevestigd in Chisinau, Hoofdstad van Moldavië. Dit staat op het feit dat een gebruikersnaam ” chishijen12″ Gevonden, zijn IP wordt gebaseerd in Moldavië en actief sinds December, 2013. De gebruiker kan zich verschuilen achter VPN of een proxy, natuurlijk.
Het is ook bekend dat de malware gebruikt een openbare RSA veiligheid sleutel voor het versleutelen van de communicatie tussen het slachtoffer en controle & commando server. Als de server wordt afgebroken, de communicatie verder via e-mail. Als dat wordt stilgelegd evenals, Backdoor kan handmatig worden bediend zonder C&C server.
Fox IT heeft twee Python-scripts gemaakt voor gebruikers om te bepalen of ze hebben Backdoor. Beiden worden geupload op de file sharing platform GitHub. Een van hen is te bepalen of de dreiging hebt, de andere om al uw bestanden te scannen. Zij omvatten het verwijderen van extra administratieve accounts en het verwijderen van verouderde certificaten.
Hoewel deze methoden moet genoeg zijn, onderzoekers raden het gebruik van een schone CMS kopie, gewoon om ervoor te zorgen dat u niet beschikt over een Backdoor.