赛门铁克发布9月份智能安全分析报告

2012 年 10 月 16 日7130

  赛门铁克公司(纳斯达克:SYMC)近日发布了2012年9月份《赛门铁克9月份智能安全分析报告》,本期开测了攻击者是如何控制他们用来传播垃圾邮件和恶意代码的网络服务器的,并特别分析了一个基于PHP的工具,该工具经常用于控制和更改这些网络服务器的配置。除此之外,报告还揭露了一个伪装的相当“高科技”的恶意Android应用程序。该应用程序会误导用户相信他们能通过太阳能为其设备充电,但实际上Android设备中根本就没有太阳能电池板,即将光转化成电的核心部件。显而易见,该应用根本达不到充电的目的,而是攻击者窃取用户敏感信息的幌子。

  探究垃圾邮件和恶意软件背后的始作俑者

  在整个威胁环境中网络服务器被感染是经常发生的事情。而垃圾邮件制造者和恶意软件作者非常喜欢被感染的服务器,因为他们能够降低托管自身服务器的成本和复杂性,并增加了安全公司处理的难度。所以,这些被感染的网络服务器往往就成为了垃圾邮件传播的核心,它们还能托管用于传播恶意代码的溢出工具包。

  近期,一个Symantec.cloud系统在哈萨克斯坦发现了一个被感染的网络服务器。该服务器是共享的托管服务器,为许多合法网站提供托管。然而,垃圾邮件制造者向该服务器上传了一个基于PHP的shell应用,使他们通过一个便捷的网络界面就可以完全控制该服务器。

  


图1 管理被感染的网络服务器的PHP应用程序界面

  该应用程序的功能非常全面。屏幕顶端显示了系统信息:空闲磁盘空间、Linux内核版本等。该应用(BOFF)默认以文件管理器视图打开,允许创建、查看、下载和重命名文件。该应用还支持许多其他功能,其中有一个控制台,能够有效地提供对服务器的基本shell访问。如果这一层访问不能达到目的,还可以选择在任意端口创建一个服务器,默认使用31337——“黑客语”中代表“精英”。一旦这个shell的一些其他特征被发现,任何怀疑它是恶意工具的信息都会被消除,因为攻击者会进行如下操作:

  · 运行任意PHP代码,如果启用了PHP安全模式,则绕过PHP安全模式。

  · 暴力破解并进入FTP、Mysql和Postgres账户。

  · 使用快捷键找到网络服务器配置文件。

  该界面的另一部分还列出了安装在服务器上的userful工具(如编译器)和下载工具(如cURL或wget)。

  所有这些功能使攻击者能够利用该系统,适时发送垃圾邮件或创建恶意网页。除此之外,赛门铁克通过这个shell还发现了更有趣的事情。这个服务器上有几个非常混乱的PHP文件,其中的一个文件是一个简单但非常有效的“后门”,允许向该服务器上传任意文件。一旦运行文件,这个Java脚本就会重新指向一个含有各种威胁的网页。任何被指向这些网页的计算机都会沦为攻击的受害者。

  该工具使攻击者可以轻而易举地命令一个被感染的网络服务器执行各种任务。非常有趣的是,我们发现控制这个网络服务器的黑客在同时传播垃圾邮件和恶意链接。或许感染计算机比传播垃圾邮件更有利可图,也或许这使垃圾邮件制造者可以通过垃圾邮件发送僵尸软件而感染更多的计算机。

0 0