29 Января, 2015

Новый вид мошенничества RansomWeb и другие события за вчера

Валерий Марчук
Вчера выдался на удивление богатый на различные события день. Кроме появления информации об удаленно эксплуатируемой уязвимости в glibc, уязвимости во FreeBSD, еще одной уязвимости в Adobe Flash Player, новой и интересной методики эксплуатации SQL-инъекций через LIMIT в MySQL (о которой оказывается писали на RDot еще в августе), заблокировали YouTube и появился интересный пост о новом вредоносном ПО, шифрующем базы данных web-сайтов. О Именно на последнее событие я бы хотел обратить внимание.

Исследователи из компании High-Tech Bridge опубликовали подробности исследования вредоноса и назвали его RansomWeb.



Что случилось?

База данных приложения оказалось зашифрованной.

Судя по всему имел место инцидент безопасности, который расследовала компания. Жертвой стал форум phpBB, хотя в публикации говорится также об еще одном аналогичном случае.

Злоумышленники потребовали денег с владельцев сайта за расшифровку данных в базе.

Как это произошло?

Посредством компрометации системы (кража пароля к FTP) и модификации некоторых файлов phpBB.

Что будет, если обновить phpBB до последней версии?

Данные в базе восстановить не получится, они будут утеряны. Файлы будут снова перезаписаны, т.к. на системе имеется уже установленный бэкдор.

Управление скомпрометированной системой осуществляется посредством сценариев step1.php и step2.php. Они в настоящий момент не обнаруживаются никакими антивирусами согласно VirusTotal:

https://www.virustotal.com/en/file/c28d71edadecc1e27b762f6bbe89f4849c2542378b7298cbde0a695a766d4d8a/analysis/1422400182/
 
https://www.virustotal.com/en/file/2dd355086c4a1e038fd5b3445880dd1a85730518451e22f7d31046045335cd57/analysis/1422400209/

Как обнаружить бэкдор?

Судя по тому, что код никак не обфусцирован, его будет сложно обнаружить инструментами, предназначенными для поиска бэкдоров в коде, поскольку все они, как правило, осуществляют поиск по сигнатурам на наличие eval() и других потенциально опасных функций.

Единственный вариант – это контроль целостности файлов. Файлы step1 и step2 могут называться по-другому и находится в различных папках на сервере.

Если вы стали жертвой RansomWeb , свяжитесь со мной пожалуйста. Будем думать, что делать дальше.