Hoje em dia, existem milhões de servidores web completamente desprotegidos com diferentes tipos de vulnerabilidades, e por isso é fácil para os atacantes fazerem upload de web shell e terem acesso a eles. Embora na grande maioria dos casos o acesso seja restrito por direitos do servidor no sistema de destino, os atacantes com sucesso, acabam encontrando maneiras de tirar vantagem máxima. Nesse contexto, é possível citar "Mayhem", que trata-se de um tipo de malware voltado para servidores Web Unix, que tem as funções de um bot tradicional do Windows, mas que pode atuar com privilégios limitados no sistema.
Comprometimento de Web Servers
Nos últimos meses, uma quantidade significativa de ataques acabou expondo os riscos que esse tipo de vulnerabilidade pode trazer para o ambiente corporativo. Segundo informações divulgadas pelo site russo Yandex, um dos ataques mais graves até agora desencadeados foi o do malware Mayhen. A finalidade chave dessa praga cibernética é comprometer os servidores da Web. O malware usa como meio de infecção as vulnerabilidades de CMS e ataques de força bruta de credenciais, sejam elas credenciais fracas ou padrão.
A partir do momento em que estiverem infectados, os servidores passam a ser usados como malware ou carregam ataques de grande escala e largura de banda de distributed-denial-of-service (DDoS), que têm como alvo outros sites. Isso foi exatamente o que aconteceu com o WordPress em março deste ano. Vale ressaltar que o ataque afetou mais de 160 mil sites. A estratégia dos invasores foi usar a funcionalidade legítima do recurso de pingback de XML-RPC, com o intuito de conectar o conteúdo de autores diferentes a websites de terceiros.
Russos Comprovam que Mayhem Funciona em Servidores FreeBSD e Linux
No mês de julho deste ano de 2014, três técnicos pertencentes ao ISP russo Yandex – Andrej Kovalev, Konstantin Ostrashkevich e Evgeny Sidorov, apresentaram provas de que o malware Mayhem, que foi descoberto em abril deste ano, consegue funcionar, perfeitamente, em servidores FreeBSD ou Linux mesmo sem a necessidade de ter privilégios de root ou superuser. Os servidores são infectados através da execução de um script PHP de pré-processamento de hipertexto; ele instala o vírus e estabelece ligação a um servidor de comando e controle.
Malware Apresenta Versatilidade em suas Funcionalidades
Além do mais, este malware pode apresentar funcionalidades diferentes como o desbloqueio de passwords, procura de informações em páginas web, de acordo com a vontade da pessoa que estiver em seu controle. Isso é conseguido através do download de um plug-in, que depois é escondido na máquina infectada. De acordo com os técnicos russos, o Mayhem parece ser a continuação da campanha de desbloqueio de passwords através do método de "força bruta" Fort Disco, que foi iniciada em maio de 2013 e que conseguiu criar uma botnet com nada menos do que 25000 máquinas com Windows, que foram infectadas.
Essas máquinas todas eram controladas por 6 servidores que depois podiam ser usadas para realizar, por exemplo, ataques coordenados a sites ou infraestruturas ligadas à Internet. Até agora, já foram detectadas 1400 infecções com o Mayhem em todo o mundo, sendo a maioria delas nos Estados Unidos, na Rússia, na Alemanha e no Canadá. Porém, de acordo com o relatório apresentado pelos técnicos russos, o malware, mais propriamente quem o controla, procura um maior número de máquinas para infectar em todo o mundo.
Ainda segundo o artigo publicado por estes três técnicos russos, os servidores que funcionam com sistemas operativos do tipo Unix, são atualizados com menos frequência, o que combinado com a falta de ferramentas de detecção e eliminação de vírus ativas os torna presas muito fáceis para os indivíduos mal-intencionados que controlam estes tipos de malware.
Sites e Servidores Infectados
A infecção de sites e até mesmo de servidores da Web inteira, tornou-se uma ocorrência bastante comum. De forma habitual, estas infecções são usados para roubar tráfego, Black Hat SEO, ataques drive-by download, e assim por diante, e na grande maioria dos casos, este tipo de malware compreende os scripts relativamente simples em PHP. Mas nos últimos dois anos, várias famílias de malware mais sofisticadas, foram descobertas em plena atividade. Uma delas é Mayhem, que trata-se de um bot modular, com multi-propósito para servidores Web. Diante disso, os pesquisadores russos estudaram esse malware, a fim de obter uma compreensão não só da parte do cliente do malware, mas também sobre alguns dos seus servidores de comando e controle (C & C), o que permite coletar algumas estatísticas.
De acordo com declarações dos pesquisadores russos, houve um enfrentamento em relação ao malware Mayhem em abril de 2014, e assim, eles resolveram aprimorar uma espécie de investigação independente. Durante a pesquisa realizada por eles, também foi descoberto que Mayhem é uma continuação de uma campanha de força bruta conhecida como "Fort Disco", como já foi supramencionado em parágrafo no início desta publicação.
Representação do Malware Mayhem
Inicialmente, a amostra de malware aparece como um script PHP. Dessa forma, os pesquisadores puderam analisar a versão do PHP-dropper com o hash SHA256:
b3cc1aa3259cd934f56937e6371f270c23edf96d2c0801 728b0379dd07a0a035.
C & C Commands
Existem sete diferentes comandos, que são usados nas comunicações entre o servidor C & C e o software malicioso. Os comandos podem ser divididos em dois grupos: os comandos de entrada (C & C para bot), e comandos de saída (bot para C & C). Todos estes comandos são enviados em solicitações HTTP POST requests/responses, ou seja, comandos de entrada são transmitidos em solicitações HTTP POST e comandos de saída são transmitidos em respostas HTTP para os POST request.
Presença de Malware em mais de 90% das Organizações
No mês de abril deste ano de 2014, o Team Researchers da Trend Micro fez uma avaliação relacionada à segurança da informação, com base nos últimos serviços Deep Discovery executados em empresas brasileiras com mais de dois mil computadores. O levantamento aponta, de forma muito clara, que as companhias não estão preparadas para possíveis novos ataques cibernéticos. Além disso, os números de malware são os mais relevantes. Foram detectados tipos de malware já conhecidos em mais de 90% das análises, sendo que em 72% delas, se tratavam de malwares bancários, e, em 30%, de malware para Android.
Em 58% das análises, foram encontrados espécies de malware não conhecidos. Além de tudo, foi constatada a presença de botnets ativos – redes zumbis controladas por atacantes que roubam dados confidenciais dos computadores infectados e passam a distribuir conteúdos não-solicitados, como spams, sem que o operador da máquina tenha qualquer tipo de conhecimento. Essa ameaça estava presente em cerca de 90% das máquinas. Na sequência das detecções, também foram encontradas aplicações não autorizadas em 82%, documentos maliciosos em 66%, e conexões a serviço de Cloud Storage em 80%.
Vale observar que os principais riscos para as empresas são o vazamento de informações confidenciais; funcionários e empresa como vítimas de ataques bancários; utilização da infraestrutura da empresa para ataques a terceiros; presença constante de atacantes dentro da rede; sequestro de informações cruciais ou críticas, cobrando o resgate da empresa ou vendendo as informações para outros e práticas de espionagem.
Problemas com Malware Podem Atingir Usuários Domésticos e Corporações
O tamanho do prejuízo causado por um software malicioso, vai depender muito da circunstância da infecção. Se essa infecção ocorreu em um computador pessoal ou em uma rede corporativa. As consequências do dano também podem variar conforme o tipo específico de malware e de dispositivo infectado, além da natureza dos dados armazenados no dispositivo ou acessados por ele.
Mas independente do que e como for, em alguns casos, os resultados de uma infecção por malware podem ser imperceptíveis ao usuário, enquanto em outros casos, o prejuízo pode acarretar consequências mais graves:
- Para usuários domésticos, uma infecção pode envolver a perda de informações relativamente puco importantes, que podem ser facilmente substituídas, ou então na perda de informações que dê aos cybercriminosos o acesso à conta bancária do usuário.
- Em uma rede corporativa, um cavalo de Troia que envia spams pode gerar um aumento irrelevante no tráfego das comunicações, enquanto outros tipos de infecção podem resultar na parada total da rede ou na perda de dados importantes.
Saiba Mais:
[1] PC Guia http://www.pcguia.pt/2014/07/servidores-unix-e-linux/
[2] SecurityAffairs http://securityaffairs.co/wordpress/...x-freebsd.html