Hookworm: Invisibilidade de um PHP Backdoor

Muitos de nós, em algum momento, fazemos ou fizemos uso de forma remota, de script shell backdoors, com a finalidade de fornecer uma maneira facilitada de emitir comandos no servidor remoto. Dessa forma, suas capacidades passam por variações, suas linguagens de programação também variam, assim como o tamanho. O utilizador pode ter scripts simples que avaliam questões relacionadas à URL, pode também executá-los com uma função, e em seguida, exibir os resultados na página web, além de interfaces de usuário complexas que oferecem funcionalidades para realizar determinadas atividades.

O problema com scripts que avalia referências à URL, é que eles deixam um monte de arquivos de log com evidências de que o shell foi utilizado. Em segundo lugar, a maioria deles é construído com uma natureza estática, que conta com o suporte de comando no servidor carregado. Sendo assim, fazendo uma observação de variáveis HTTP GET e POST, ​​há uma grande possibilidade de colaboração para detectar e formar uma possível trilha de auditoria.

Com todos os negativos em mente, o autor do Hookworm, Mr. Justin Klein Keane, definiu a construção de um backdoor com características melhoradas . Ele observou que há uma série de variáveis ​​muitas vezes esquecidas, (HTTP) entre clientes e servidores, que podem ser utilizadas ​​para transportar carga maliciosa. Hookworm simplesmente "faz uma análise" dos cookies apresentados pelo browser e responde por "quebra" de respostas entre qualquer número de cookies, com a intenção de transmitir dados de grande porte, apesar de haver algumas restrições relacionadas a esses cookies.

A vantagem apresentada por Hookworm, é que você realmente não precisa se ​​preocupar com upload de arquivos, mais especificamente, com suas limitações de tamanho. Lembrando que esta ferramenta foi desenvolvida como prova de conceito único, e que não se destina para fins maliciosos.


Saiba Mais:

[1] PentestIT.com http://www.pentestit.com/hookworm-stealth-php-backdoor/