Архив

Червь Scalper использует бреши в популярном web сервере «Apache»

В сети появился интренет-червь Scalper (AKA «FreeBSD.Scalper.worm», «ELF/FreeApworm», «ELF_SCALPER.A»), который поражает серверы под управлением операционной системы FreeBSD. Scalper использует бреши в системе безопасности популярного web сервера «Apache». Червь также содержит backdoor компоненту, которая позволяет управлять зараженным сервером. Эта компонента принимает команды запуска
файлов на локальном компьютере, наводнение запросами некоторого IP адреса, посылка электронной почты и т.п.

Версия сервера «Apache» с брешью в защите находится в промежутке между 1.3.x — 1.3.24, все версии от 2.0.x до версии 2.0.36 и все версии старше 1.2.x. Для исправления этой бреши рекомендуем установить исправленные версии «1.3.26»/»2.0.39″ или более поздние.

На момент составления описания червь не был замечен в диком виде.


Ссылки по теме:

Apache Security Bulletin, June 20, 2002

Apache Web Server Chunk Handling Vulnerability


Особенности алгоритма червя

Червь атакует компьютеры по случайно-сгенерированному IP адресу. Формат IP адреса a.b.x.x, где «a» выбирается из массива со 162-мя значениями, «b» полностью случайное число в диапазоне от 0 до 255 и «x.x» выбираются последовательным перебором от «0.0» до «255.255». Для каждого сгенерированного IP адреса червь проверяет на совпадение его с адресом локального компьютера 127.x.x.x. Если совпадения не было, то червь пытается
соединиться по этому IP адресу через порт 80. Он посылает запрос со строкой «GET /». Если сервер отвечает на запрос строкой со словом «Apache», то червь пытается пробить его защиту. Для этого он посылает набор из двух блоков данных, которые взламывают защиту для Apache сервера версий 1.3.20 и 1.3.22-24. Если взлом удался, то червь пересылает себя в кодированном виде
UUENCODE в каталог «/tmp», распаковывает и запускает. После запуска червь продолжает цикл размножения, ищет другие жертвы и активирует backdoor компоненту для порта 2001 UDP. Backdoor компонента обрабатывает широких набор команд. Например:

  • наводнение пакетами UDP, TCP, DNS и RAW заданного компьютера в сети
  • запуск файлов на локальном компьютере
  • загрузка бинарных файлов с другого компьютера по протоколу
    HTTP и запуск их на локальном

  • рассылка почтовых сообщений
  • отсылка информации о конфигурации локального компьютера

Все запросы для backdoor компоненты зашифрованы, но шифровка постоянна и скорее всего используется для защиты от анализаторов интернет трафика.

Червь Scalper использует бреши в популярном web сервере «Apache»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике