Основатель и владелец сервиса Unmask Parasites Денис Синегубко сообщил об обнаружении необычной схемы распространения вредоносного ПО. Главную роль в данной схеме выполняют легитимные серверы, что позволяет говорить о «ботнете из веб-серверов».
Как сообщает сайт Webplanet.ru, Unmask Parasites представляет собой сервис по проверке сайтов на предмет заражения. На протяжении нескольких месяцев Синегубко наблюдал за атакой, которая использовала для заражения пользовательских ПК скрытый iframe в html-страницах. Этот скрипт внедряется на веб-страницы из-за чего даже банальный просмотр данной страницы пользователем может привести к заражению его компьютера.
Пользовательские ПК в данном случае превращаются в «зомби» за счет присутствующих уязвимостей. В этом случае, как выяснил Синегубко, злоумышленники использовали «брешь» в Adobe Acrobat. Такая схема довольно стандартна, но недавно киберпреступники усложнили ее.
В частности, они активнее стали прибегать к услугам провайдеров динамических DNS-адресов 3-его уровня. Так, использовались сервисы No-IP и DynDNS, которые предлагают выбор из 21 и 88 доменов 2-го уровня соответственно: на них киберпреступники бесплатно регистрировали домены 3-его уровня, включавшиеся в код iframe.
Динамический DNS дает возможность моментально сменять реальный IP-адрес сервера, который распространяет вредоносное программное обеспечение. Но если раньше домены, которые встречались в коде iframe, указывали на один из пяти IP-адресов, то в последнее время число реальных IP существенно возросло. Синегубко насчитал не менее 77 уникальных IP-адресов, которые принадлежат Linux-компьютерам из разных стран, преимущественно из Франции и США. Выяснилось, что на этих машинах работают различные версии веб-сервера Apache, при этом сайты, обслуживаемые ими, являются вполне легитимными.
Кроме Apache, который обрабатывает запросы к порту 80, на этих же серверах имеется веб-сервер nginx, который прослушивает 8080-й порт. Именно из этого места реализуется распространение вредоносного ПО на пользовательские компьютеры. Постоянно в активном состоянии находятся 10 из вредоносных серверов, при этом их ротация производится каждые несколько часов.
«Судя по всему, эти серверы оказались взломаны, но их администраторы даже не подозревают, что злоумышленники смогли установить вредоносный веб-сервер на 8080-й порт», – говорится в блоге Unmask Parasites.
Синегубко полагает, что взломанные веб-серверы по сути формируют ботнет. Теоретически этот ботнет может использоваться киберпреступниками для стандартных задач, вроде DDoS-атак и рассылки спама, но на практике эксперту не удалось это проверить, так как необходимо сравнить их IP с адресами ПК, уличенными в таких действиях, однако Синегубко к этим сведениям доступа не имеет.
«Я считаю что это ботнет не потому, что сервера занимаются обычной для ботнетов деятельностью, а потому, что с технической точки зрения это крайне похоже на ботнет: несколько серверов, которые имеют единый командный центр и осуществляют действия в тайне от владельцев серверов», – констатирует Синегубко.
Сейчас их число достаточно невелико, но эксперт уверен, что у злоумышленников в запасе есть и другие инфицированные веб-серверы.
Каким способом на легитимные серверы оказался подсажен вредоносный nginx пока остается загадкой. Синегубко считает, что у хакеров имеются root-пароли к Linux-серверам, украденным с ПК администраторов с помощью шпионских приложений. Не исключен вариант, что хакеры действовали через уязвимость, к примеру в Apache или Linux.
Эксперт уже связался с No-IP и DynDNS, поэтому большинство из предоставленных ими вредоносных доменов 3-его уровня на данный момент блокированы. Тем не менее, вряд ли это сможет остановить киберпреступников, поскольку они смогут зарегистрировать новые домены.
Кроме того, эксперты сейчас общается с хостинговыми компаниями, за которыми числятся инфицированные серверы. Но «излечение» данных серверов может оказаться довольно продолжительным процессом, так как хостеры не могут получить к ним доступ без соответствующего разрешения клиентов, которые арендуют серверы.
