Niebezpieczne, trudne do wykrycia ataki i zestawy exploitów wymierzone w serwery sieci rozszerzyły swoją działalność od 2013 roku, prowadząc do coraz większej ilości ataków na komputery klientów sieci Web.

Wspomniane przy okazji omawiania malware Linuxowych, ataki, których zwiększoną liczbę zaobserwowaliśmy, przybierające formę modułów programu Apache, które raz zainstalowane w zarażonym systemie, zwiększają liczbę ataków na znane podatności w przeglądarkach internetowych użytkowników.

Darkleech atakuje serwery internetowe

Najgłośniejszym przykładem tego typu ataku był Darkleech. Według raportów złamał zabezpieczenia ponad 40.000 domen i adresów IP. Strony zarażone przez Darkleech były odpowiedzialne za rozsyłanie bardzo szkodliwego malware, wliczając w to ransomware Nymaim, które szyfrowało pliki użytkownika domagając się opłaty 300 dolarów za ich odszyfrowanie. Z naszych badań wynika, że 93% stron zainfekowanych przez Darkleech było obsługiwanych przez program Apache.

Część z ataków Darkleech została specjalnie zaprojektowana jako trudna do odtworzenia. Mogły, na przykład, uruchamiać skrypt odpowiedzialny za atak raz na dziesięć prób, co sprawiało że podejrzliwi administratorzy zaczynali wierzyć, że problem, jeśli w ogóle istniał, nie pochodził z lokalnego systemu. Darkleech zawierał także czarną listę adresów IP w celu zapewnienia, że dany adres został przekierowany na złośliwą stronę tylko raz.
Wielu atakujących umieszcza na czarnych listach także adresy pochodzące z silników wyszukiwarek internetowych oraz te należące do organizacji zajmujących się bezpieczeństwem.

Ataki na serwery sieci Web obnażają potrzebę bliskiej współpracy pomiędzy firmami zajmującymi się bezpieczeństwem i dostawcami hostingu stron w celu lepszego poznania tak subtelnych i złożonych metod ataków jak Darkleech. Z technicznego punktu widzenia takie ataki są już teraz wystarczająco trudne do wykrycia. W związku z tym, że hostingi z natury operują na niskich marżach, po odkryciu infekcji na serwerze łatwiej im przebudować nowy wirtualny serwer niż diagnozować przyczyny zajścia. W takim wypadku ani hosting, ani ich partnerzy zajmujący się bezpieczeństwem nie wiedzą do końca jak doszło do infekcji. Nowe serwery często padają ofiarami nowych ataków. Klienci hostingów powinni zawsze pytać, jakie procedury podejmuje firma w wypadku infekcji jednego z serwerów oraz jakich narzędzi używa do ich zapobiegania.

Więcej malvertisingu

Malvertising to reklamy zawierające złośliwy kod, dostarczane przez sieci reklamowe oraz strony internetowe. Istnieją od dawna, ale w roku 2013 coraz bardziej dawały o sobie znać, niektóre rozprzestrzeniały się za pomocą znanych stron, takich jak YouTube.

Dzisiejsze ataki typu malvertising przybierają głównie postać animacji w technologii Flash.
Po kliknięciu w reklamę Flash, użytkownik za pomocą ActionScript, przenoszony jest do złośliwej strony internetowej. Świetnym przykładem będzie Troj/SWFRed-D. Często spotykany
w reklamach w serwisie YouTube w 2013 roku, przekierowywał użytkownika do zestawu exploitów Styx. W szczególnych przypadkach reklamy flashowe same zawierały zestawy exploitów, wymierzone w podatności niektórych odtwarzaczy Flash, infekując użytkownika bez konieczności przekierowywania na dodatkowe strony internetowe.

źródło: Sophos

Kan