На Linux-серверах, использующих панель управления хостингом Cpanel, выявлен новый бэкдор, поражающий компоненты http-сервера Apache. В отличие от ранее встречающихся способов внедрения в Apache, основанных на загрузке отдельного троянского модуля, новое вредоносное ПО отличается прямой интеграцией в исполняемый файл httpd. Вредоносная вставка добавляется непосредственно в исполняемый файл и перенаправляет на свой код несколько обработчиков, вызываемых в процессе обслуживания внешних запросов к http-серверу.

Вся связанная с бэкдором информация сохраняется в разделяемой памяти. Команды управления бэкдором передаются через специальные HTTP GET-запросы, которые обрабатываются вредоносной вставкой молча, без отображения каких-либо данных в логе (при использовании вредоносного apache-модуля активность злоумышленников отслеживалась по логу). В рамках подобного HTTP GET-запроса передаётся IP и номер порта, по которому бэкдор осуществляет ответное соединение. Таким образом связанная с работой бэкдора не оседает в логах на сервере, а поражённый хост продолжает выглядеть как обычный web-сервер.

Цели внедрения нового вредоносного ПО схожи с целями ранее выявленных атак, манипулирующих руткитом для ядра Linux или троянским модулем для Apache для незаметной подмены транзитного трафика, отдаваемого на запросы клиентов. Метод нового бэкдора отличается от тем, что вместо добавления вредоносных JavaScript или iframe-блоков в процессе передачи контента клиенту, используется другая схема: в определённые случайные моменты времени (примерно раз вдень для каждого IP) вместо отдачи запрошенной страницы осуществляется редирект на внешний сайт с кодом эксплуатации известных уязвимостей в web-браузерах и плагинах к ним.

При этом в качестве аргумента при редиректе указывается изначально запрошенный URL, который используется для возвращения пользователя на изначальное запрошенную страницу после активации кода эксплуатации уязвимости в браузере. В дальнейшем, при успешной эксплуатации уязвимости на стороне клиента на его систему устанавливается вредоносное ПО, используемое для перехвата конфиденциальных данных или для участие в ботнете, который может привлекаться для осуществления DDoS-атак или рассылки спама.

Интересно, что при редиректе фигурируют поддомены легитимных доменов (например, dcb84fc82e1f7b01.alarm-gsm.be). При этом имена меняются достаточно интенсивно, всего было зафиксировано около 30 тысяч вариантов доменов для проброса на вредоносный код. Пока непонятно, каким образом злоумышленники создают подобные поддомены - большинство из DNS-записей фигурирующих в них хостов связаны с DNS-сервисом dothost.co.kr, не исключается компрометация аккаунтов клиентов данной системы или взлом инфраструктуры данного сервиса.

Пока непонятно каким способом атакующие получили root-доступ для размещения бэкдора. В качестве предположения упоминается проведение атаки по подбору типовых паролей доступа к SSH. Бэкдором поражаются только системы с Apache, установленный вместе с Cpanel. Так как компоненты установленного таким образом apache не охватываются пакетными менеджерами дистрибутивов, остаются только обходные способы выявления фактов модификации файла httpd. В частности, можно использовать то, что бэкдром используется вызов open_tty, которого нет в обычном httpd, поэтому если при выполнении "grep -r open_tty /usr/local/apache/" будут выявлены файлы, то вероятно хост поражён вредоносным ПО.