Peneliti ESET kembali mengungkap serangan baru yang menyerang Webserver yang paling banyak dipakai di seluruh dunia, terutama di perusahaan dan lembaga pemerintah, yaitu Webserver Apache.
Bersama dengan lembaga riset keamanan digital Sucuri, para peneliti di ESET melakukan analisa terhadap threat berkemampuan tinggi, sekaligus sebagai backdoor yang sulit terdeteksi yang digunakan untuk mengalihkan traffic data ke situs berbahaya yang terinfeksi blackhole exploit.
Para peneliti ESET mengidentifikasi backdoor yang merupakan backdoor tercanggih tersebut sebagai Linux/Cdorked.A. Selain itu, dengan dukungan ESET LiveGrid threat telemetry, team peneliti ESET mengidentifikasi ratusan webserver yang terkontaminasi Linux/Cdorked.A.
Pierre-Marc Bureau, ESET Security Intelligence Program Manager menyatakan “Backdoor Linux/Cdorked.A tidak meninggalkan jejak apa pun di hard-disk berbeda dengan file “httpd” yang dimodifikasi , daemon (or service) yang digunakan oleh Apache. Kemudian semua informasi yang berhubungan dengan backdoor tersimpan di shared memory di dalam server, sehingga menyulitkan proses deteksi dan analisa.”
Sebagai tambahan, Linux/Cdorked.A dilengkapi kemampuan untuk menghindar dari deteksi, baik di webserver yang sudah berhasil disusupi, maupun pada web browser dari komputer yang masuk ke situs berbahaya yang telah disebutkan di atas.
Blackhole exploit kit adalah exploit kit yang populer dan umum yang menggunakan new zero day dan known exploits, untuk mengambil alih kontrol terhadap sistem Anda, saat Anda masuk ke situs yang terinfeksi oleh Blackhole kit. Kemudian ketika seseorang masuk ke Webserver yang terinfeksi, mereka tidak begitu saja dibawa ke situs terinfeksi – ada web cookie yang sudah diset di browser sehingga backdoor hanya cukup mengalihkan mereka satu kali saja.
Web cookie tersebut tidak ada dan tidak diset di administrator pages: backdoor akan memeriksa referrer field dan jika mereka yang dialihkan menuju ke webpage dari sebuah URL yang memiliki keyword tertentu seperti “admin” atau "cpanel", maka kemungkinannya tidak ada konten berbahaya di dalamnya.
Yudhi Kukuh, Technical Consultant PT. Prosperita-ESET Indonesia menyampaikan “ESET sangat menganjurkan pada para system administrator untuk memeriksa kembali server mereka dan melakukan verifikasi untuk memastikan sistem tidak terkontaminasi atau tidak terpengaruh oleh threat tersebut."
Bersama dengan lembaga riset keamanan digital Sucuri, para peneliti di ESET melakukan analisa terhadap threat berkemampuan tinggi, sekaligus sebagai backdoor yang sulit terdeteksi yang digunakan untuk mengalihkan traffic data ke situs berbahaya yang terinfeksi blackhole exploit.
Para peneliti ESET mengidentifikasi backdoor yang merupakan backdoor tercanggih tersebut sebagai Linux/Cdorked.A. Selain itu, dengan dukungan ESET LiveGrid threat telemetry, team peneliti ESET mengidentifikasi ratusan webserver yang terkontaminasi Linux/Cdorked.A.
Pierre-Marc Bureau, ESET Security Intelligence Program Manager menyatakan “Backdoor Linux/Cdorked.A tidak meninggalkan jejak apa pun di hard-disk berbeda dengan file “httpd” yang dimodifikasi , daemon (or service) yang digunakan oleh Apache. Kemudian semua informasi yang berhubungan dengan backdoor tersimpan di shared memory di dalam server, sehingga menyulitkan proses deteksi dan analisa.”
Sebagai tambahan, Linux/Cdorked.A dilengkapi kemampuan untuk menghindar dari deteksi, baik di webserver yang sudah berhasil disusupi, maupun pada web browser dari komputer yang masuk ke situs berbahaya yang telah disebutkan di atas.
Blackhole exploit kit adalah exploit kit yang populer dan umum yang menggunakan new zero day dan known exploits, untuk mengambil alih kontrol terhadap sistem Anda, saat Anda masuk ke situs yang terinfeksi oleh Blackhole kit. Kemudian ketika seseorang masuk ke Webserver yang terinfeksi, mereka tidak begitu saja dibawa ke situs terinfeksi – ada web cookie yang sudah diset di browser sehingga backdoor hanya cukup mengalihkan mereka satu kali saja.
Web cookie tersebut tidak ada dan tidak diset di administrator pages: backdoor akan memeriksa referrer field dan jika mereka yang dialihkan menuju ke webpage dari sebuah URL yang memiliki keyword tertentu seperti “admin” atau "cpanel", maka kemungkinannya tidak ada konten berbahaya di dalamnya.
Yudhi Kukuh, Technical Consultant PT. Prosperita-ESET Indonesia menyampaikan “ESET sangat menganjurkan pada para system administrator untuk memeriksa kembali server mereka dan melakukan verifikasi untuk memastikan sistem tidak terkontaminasi atau tidak terpengaruh oleh threat tersebut."
0 komentar:
Posting Komentar