Pesquisadores de segurança cibernética descobriram recentemente uma ameaça avançada com um conjunto de recursos maliciosos, incluindo ransomware.
Apelidado Ensiko, o malware é um shell da web PHP com recursos de pesadelo, que é capaz de atingir o Linux, janelas, e máquinas macOS. Contudo, ele também pode direcionar qualquer outra plataforma com o PHP instalado, Pesquisadores do TrendMicro dizer.
Ensiko Malware: Visão geral técnica
Como mencionado, Ensiko é um shell web PHP com vários recursos. O malware pode controlar um sistema comprometido remotamente, e aceitar comandos de atores de ameaças para realizar vários cenários maliciosos.
Ensiko “também pode executar comandos do shell em um sistema infectado e enviar os resultados de volta ao invasor através de um shell reverso do PHP.” O malware pode verificar os servidores quanto à presença de outros webshells. Outros recursos incluem desfigurar sites, enviando e-mails em massa, baixando arquivos remotos, divulgando informações sobre o servidor afetado, ataques de força bruta contra protocolo de transferência de arquivos (FTP), cPanel, e Telnet, sobrescrevendo arquivos com extensões especificadas, entre outros.
O malware pode ser protegido por senha. Para autenticação, ele exibe uma página Não encontrado com um formulário de login oculto. Outros recursos do Ensiko incluem:
Índice Priv: Baixe ensikology.php de pastebin
ransomware: Criptografar arquivos usando RIJNDAEL 128 com modo CBC
CGI Telnet: Baixe a versão CGI-telnet 1.3 de pastebin;
CGI-Telnet é um script CGI que permite que você execute comandos em seu servidor web.
Shell reverso: Shell reverso de PHP
Mini Shell 2: Drop Mini Shell 2 carga útil do webshell em ./tools_ensikology/
IndoXploit: Coloque a carga útil do IndoXploit webshell em ./tools_ensikology/
Sound Cloud: Exibir nuvem de som
Mapa DDOS em tempo real: Mapa Fortinet DDoS
Codificar / Decodificar: Codificar / decodificar buffer de string
Fucker de modo seguro: Desativar o modo de segurança do PHP
Lista de diretórios proibida: Desative os índices de diretório
Mass Mailer: Mail Bombing
cPanel Crack: CPanel de força bruta, ftp, e telnet
Backdoor Scan: Verifique o servidor remoto para o shell da web existente
Detalhes de exploração: Exibir informações e versão do sistema
Verificação remota de servidor: Verifique o servidor remoto para o shell da web existente
Remote File Downloader: Baixar arquivo do servidor remoto via CURL ou wget
Codificação / decodificação hexadecimal: Codificação / decodificação hexadecimal
Scaner de acesso anônimo FTP: Pesquisar FTP Anônimo
Mass Deface: Desfiguração
Configurar a configuração do sistema Grabber Grab, como "/ etc / passwd"
symlink: ligação
Cookie Hijack: Seqüestro de sessão
Capsula segura: Shell SSH
Substituição em massa: Reescreva ou acrescente dados ao tipo de arquivo especificado.
Gerenciador de FTP: Gerenciador de FTP
Verificar Steganologer: Detecta imagens com o cabeçalho EXIF
Adminer: Baixe o gerenciamento de banco de dados Adminer PHP em ./tools_ensikology/
Informações sobre PHP: Informações sobre a configuração do PHP
Byksw Traduzir: Substituição de caracteres
Suicídio: Excluir automaticamente
Quanto aos recursos de ransomware, Ensiko usa PHP RIJNDAEL_128 com modo CBC para criptografar arquivos em um diretório e subdiretórios de shell da web. Acrescenta nomes de arquivos com o .atrás extensão, A análise do TrendMicro revela.
Ensiko é uma ameaça avançada que parece ter sido criada para administração remota. Possui recursos de ransomware, e pode criptografar arquivos em um servidor infectado através do algoritmo de criptografia RIJNDAEL.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: