Инциденты

Злобные хакеры или беспечные юзеры?

В последнее время участились случаи взлома веб-серверов и размещения вредоносных скриптов на главных страницах сайтов. Внедряемый скрипт — Trojan-Downloader.JS.Psyme — использует старые уязвимости в Microsoft Internet Explorer для загрузки на машину посетителя взломанного сайта троянца-шпиона. В ссылке на вредоносный код фигурирует имя файла скрипта sp.php.

Как происходят подобные заражения? Три варианта:

  • «Живое» хакерское вторжение.

    Большое количество однотипных случаев сводит вероятность данного сценария к минимуму.

  • Массивная автоматическая эксплуатация сервисов веб-серверов.

    В случае с доступными мне для анализа зараженными серверами, скрипты загружались в директории веб-сервисов по протоколу FTP, причем с использованием уже существующего в системе логина.

    Это означает, что хакер (кем или чем бы он ни был) имел доступ к учётным записям и паролям сервера — по крайней мере, некоторым. Быть может, хешированный при помощи не вполне актуального на сегодняшний день криптоалгоритма MD5 файл с паролями «вытаскивали» через дыру в каком-нибудь из веб-сервисов?

    Однако и этот сценарий маловероятен — ввиду того, что модификация серверов производилась абсолютно «чисто»: в логах не зафиксированы ни предварительные попытки логина, ни какие-либо подозрительные манипуляции с сервисами — ничего, кроме легального входа на FTP.

Что же остается? Если отбросить более чем сомнительную идею о сниффинге, то…

  • Воровство паролей с машин конечных пользователей FTP веб-сервера.

    Речь идет о вероятном троянце, который, будучи запущен на Windows-машине администратора сайта с сохраненными на ней данными для доступа к FTP (например, в Total Commander), воровал бы эти данные.

    Количество доводов в пользу этого сценария увеличивается, если поразмыслить, почему заражаются именно те сервера, которые заражаются, не будучи связанными друг с другом никакой очевидной логикой. Ведь воруя пароли с машины пользователя, программа забирает их вместе с IP-адресом целевой машины.

    Причем, эти пароли даже не обязательно куда-то отсылать — сам троянец может «на месте» инициировать FTP-сессию с использованием найденных реквизитов и загрузить на сервер вредоносные скрипты — при наличии у FTP-аккаунта достаточных на то привилегий.

По моей оценке, сейчас мы практически наверняка имеем дело со сценарием №3, в связи с чем противодействие «эпидемии взломов» сводится к стандартным антивирусным рекомендациям:

  • обязательно устанавливать на компьютеры администраторов сайтов все актуальные «заплатки» от Microsoft;
  • регулярно обновлять базы антивируса на таких компьютерах;
  • и снабдить их нормальным межсетевым экраном.

Плюс набившие оскомину предосторожности: не запускать незнакомые файлы или выключать по возможности автозагрузку ActiveX в браузере.

Очевидно и частное решение: избегать хранения паролей доступа в FTP-клиентах (и не только в них), но кто в наши дни сможет похвастаться достаточной для этого памятью?

Злобные хакеры или беспечные юзеры?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике