Бэкдор для веб-сервера Nginx, который не замечали антивирусы

Дата: 24.07.2020. Автор: Артем П. Категории: Новости по информационной безопасности

Специалисты по информационной безопасности нашли бэкдор для Nginx, который использовал измененный код оригинала. Данный вредонос получил минимальное количество прямых подтверждений. На данный момент его обнаруживают около 9 антивирусов, ранее не видел ни один из них.

Специалисты компании Anheng Threat Intelligence добавили вредоносный файл на VirusTotal, после чего ни один из современных защитных инструментов не обнаружил ничего подозрительного. Затем было выяснено, что киберпреступники изменили функцию ngx_http_header_filter. Если судить по представленным скриншотам, измененный веб-сервер занимается проверкой входящих запросов на присутствие конкретной последовательности символов. При ее наличии веб-сервер соединяется с адресом, который был отослан киберпреступником в этом же запросе.

Специалисты из Anheng заявили, что можно двумя методами выполнить проверку присутствия бэкдора:

  • произвести локальный мониторинг порта 9999 и с использованием команды curl найти установленный киберпреступниками шелл;
  • воспользоваться командой $ whichnging |xargsgrep “/bin/sh” -la, чтобы обнаружить подозрительные строки.

На данный момент, после публикации отчета компании Anheng Threat Intelligence, уже 9 антивирусных продуктов уже обнаруживают этот бэкдор для Nginx. Это антивирусное ПО компаний Kaspersky, Dr. Web, Symantec, Trend Micro, Sophos и другие. Антивирусы указывают на то, что это троянский вредоносный файл. Скорее всего, после обновления базы других антивирусных программ они также смогут детектировать троянца.

Алексей Водясов, специалист по кибербезопасности SEC Consult Services, отметил: «На сегодняшний день крайне мало каких-то интересных деталей об этом бэкдоре для Nginx. Вопросов к нему куда больше, чем мы имеем ответов. Если судить только по публикации компании Anheng Threat Intelligence, можно сделать вывод, что произошла компрометация исходных файлов Nginx со стороны разработчиков. Подобное, наверное, еще долго будет не прояснено. Вероятно, именно поэтому реакция российского и международного сообщества на наличие бэкдора в Nginx не слишком активная, хотя, в теории, такая новость может являться крайне большой угрозой, если принимать во внимание востребованной данной разработки на мировом рынке».

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

двадцать − 7 =