Cybersecurity-onderzoekers hebben onlangs een geavanceerde dreiging ontdekt met een reeks schadelijke mogelijkheden, waaronder ransomware.
Ensiko genoemd, de malware is een PHP-webshell met ransowmare-mogelijkheden, die zich kan richten op Linux, Windows, en macOS-machines. Echter, het kan ook elk ander platform targeten waarop PHP is geïnstalleerd, TrendMicro onderzoekers zeg.
Ensiko Malware: technisch overzicht
Zoals zojuist genoemde, Ensiko is een PHP-webshell met verschillende mogelijkheden. De malware kan een gecompromitteerd systeem op afstand besturen, en commando's van bedreigingsactoren accepteren om verschillende kwaadaardige scenario's uit te voeren.
Ensiko “kan ook shell-opdrachten uitvoeren op een geïnfecteerd systeem en de resultaten terugsturen naar de aanvaller via een omgekeerde PHP-shell.” De malware kan servers scannen op de aanwezigheid van andere webshells. Andere mogelijkheden zijn onder meer het beschadigen van websites, massa-e-mails verzenden, externe bestanden downloaden, informatie vrijgeven over de getroffen server, brute-force aanvallen op het protocol voor bestandsoverdracht (FTP), cPanel, en Telnet, bestanden overschrijven met gespecificeerde extensies, onder andere.
De malware kan met een wachtwoord worden beveiligd. Voor authenticatie, het toont een niet gevonden pagina met een verborgen inlogformulier. Andere mogelijkheden van Ensiko zijn onder meer:
Priv Index: Download ensikology.php van pastebin
Ransomware: Versleutel bestanden met RIJNDAEL 128 met CBC-modus
CGI Telnet: Download CGI-telnet-versie 1.3 van pastebin;
CGI-Telnet is een CGI-script waarmee u opdrachten op uw webserver kunt uitvoeren.
Omgekeerde schaal: PHP Reverse shell
Mini schaal 2: Drop Mini Shell 2 webshell-payload in ./tools_ensikology/
IndoXploit: Drop IndoXploit webshell payload in ./tools_ensikology/
Geluidswolk: Toon geluidswolk
DDOS-kaart in realtime: Fortinet DDoS-kaart
Coderen / decoderen: Tekenreeksbuffer coderen / decoderen
Veilige modus Fucker: Schakel PHP Safe Mode uit
Dir-vermelding verboden: Schakel directory-indexen uit
Mass Mailer: Postbombardementen
cPanel Crack: Brute-force cPanel, ftp, en telnet
Achterdeur scannen: Controleer de externe server op bestaande webshell
Exploitatiegegevens: Systeeminformatie en versiebeheer weergeven
Externe serverscan: Controleer de externe server op bestaande webshell
Remote File Downloader: Download bestand van externe server via CURL of wget
Hex coderen / decoderen: Hex coderen / decoderen
FTP Anonymous Access Scaner: Zoek naar anonieme FTP
Mass Deface: schending
Config Grabber Grab-systeemconfiguratie zoals "/ etc / passwd"
symlink: link
Cookie Hijack: Session hijacking
Secure Shell: SSH Shell
Massa overschrijven: Herschrijf of voeg gegevens toe aan het opgegeven bestandstype.
FTP-beheer: FTP-beheer
Controleer Steganologer: Detecteert afbeeldingen met EXIF-header
Beheerder: Download Adminer PHP-databasebeheer in de ./tools_ensikology/
PHP-informatie: Informatie over de configuratie van PHP
Byksw Vertalen: Tekenvervanging
Zelfmoord: Zelf verwijderen
Wat betreft de mogelijkheden van ransomware, Ensiko gebruikt PHP RIJNDAEL_128 met CBC-modus om bestanden in een webshell-directory en submappen te versleutelen. Het voegt bestandsnamen toe met de .achter uitbreiding, De analyse van TrendMicro onthult.
Ensiko is een geavanceerde bedreiging die lijkt te zijn gemaakt voor beheer op afstand. Het heeft mogelijkheden voor ransomware, en kan bestanden op een geïnfecteerde server versleutelen via het RIJNDAEL-versleutelingsalgoritme.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: