Mayhem : Un malware qui cible les serveurs web Linux

Des chercheurs en sécurité de chez Yandex, le portail le plus populaire de Russie, ont découvert un nouveau malware qui serait utilisé pour cibler des serveurs web sous Linux et FreeBSD. Une fois le serveur infecté, ce dernier sera intégré au sein d’un réseau botnet, sans même avoir besoin de privilèges root.

logo-design38Les chercheurs ont nommés le malware « Mayhem », un malware modulable qui intègre de nombreux payloads afin d’effectuer des actions malicieuses et de cibler des machines qui ne sont pas sécurisée pour les infecter. Basé sur un script PHP sophistiqué, il a un ratio de détection par les antivirus qui est faible.

Ces mêmes chercheurs ont trouvés plus de 1400 serveurs Linux et FreeBSD dans le monde compromis par le malware, avec potentiellement encore un millier à venir. Les principaux pays touchés sont les USA, la Russie, l’Allemagne et le Canada.

Trois experts en sécurité de chez Yandex, Andrej Kovalev, Konstantin Ostrashkevich et Evgeny Sidorov, ont découverts que le malware ciblait les serveurs Unix et tous les systèmes similaires. Ils ont également indiqué : « Dans le monde *nix, les technologiques de mises à jour automatique ne sont pas très utilisée, en comparaison aux PCs de bureau et aux smartphones. La majorité des webmasters et des administrateurs systèmes mettent à jour leurs logiciels manuellement et vérifient que l’infrastructure fonctionne correctement. »

Le malware se connecte à un serveur de commande qui lui donne des ordres, et, comme il est modulable il est accompagné de différents plug-ins remplissant chacun une fonction particulière. Pour le moment, huit plug-ins ont été découverts :

- Rfiscan.so : Trouver les sites internet qui ont une vulnérabilité de type RFI (Remote File Inclusion)
- Wpenum.so : Énumérer les utilisateurs d’un site WordPress
- Cmsurls.so : Identifier les pages de connexion des sites basés sur WordPress
- Bruteforce.so : Brute force pour l’authentification sur des sites basés sur WordPress et Joomla
- Bruteforceng.so : Brute force pour les pages d’authentification
- Ftpbrute.so : Brute force sur les comptes FTP
- Crawlerng.so : Crawler les pages web par URL et extraire des informations utiles
- Crawlerip.so : Crawler les pages web par IP et extraire des informations utiles

Dans le cas du plug-in rfiscan.so, le malware cherche des serveurs qui hébergent des sites contenant une vulnérabilité de type « Remote File Inclusion » en vérifiant l’existence d’un fichier « humans.txt ». Si la réponse http contient la chaîne « We can shake » alors le plug-in détermine que le site contient une vulnérabilité RFI.

Une fois la vulnérabilité RFI exploitée, ou une autre vulnérabilité, un script PHP sera exécuté afin de tuer tous les processus « /usr/bin/host », puis, vérifiera qu’il s’agit bien d’une machine Linux ou FreeBSD pour ensuite envoyer un objet malicieux nommé « libworker.so ».

mayhem1

Pendant ce temps, le script PHP définit également une variable nommée « UA », qui inclut l'URL complète du script en cours d'exécution. Un script shell est également exécuté afin de communiquer avec le serveur de commande.

Ensuite, le malware crée un fichier système caché, connu sous le nom « sd0 », et télécharge les 8 plug-ins (aucun d’entre eux n’est détecté par VirusTotal).

Mayhem fût détecté pour la première fois en Avril 2014, et les trois chercheurs précisent qu’il y a d’autres plug-ins en plus des 8 cités, notamment un qui est capable de détecter et d’exploiter les systèmes contenant la vulnérabilité critique « Heartbleed » dans OpenSSL.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Co-Fondateur d'IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno' est importante je partage aussi des actus.

florian has 2070 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.