Mayhem : Un malware qui cible les serveurs web Linux
Des chercheurs en sécurité de chez Yandex, le portail le plus populaire de Russie, ont découvert un nouveau malware qui serait utilisé pour cibler des serveurs web sous Linux et FreeBSD. Une fois le serveur infecté, ce dernier sera intégré au sein d’un réseau botnet, sans même avoir besoin de privilèges root.
Les chercheurs ont nommés le malware « Mayhem », un malware modulable qui intègre de nombreux payloads afin d’effectuer des actions malicieuses et de cibler des machines qui ne sont pas sécurisée pour les infecter. Basé sur un script PHP sophistiqué, il a un ratio de détection par les antivirus qui est faible.
Ces mêmes chercheurs ont trouvés plus de 1400 serveurs Linux et FreeBSD dans le monde compromis par le malware, avec potentiellement encore un millier à venir. Les principaux pays touchés sont les USA, la Russie, l’Allemagne et le Canada.
Trois experts en sécurité de chez Yandex, Andrej Kovalev, Konstantin Ostrashkevich et Evgeny Sidorov, ont découverts que le malware ciblait les serveurs Unix et tous les systèmes similaires. Ils ont également indiqué : « Dans le monde *nix, les technologiques de mises à jour automatique ne sont pas très utilisée, en comparaison aux PCs de bureau et aux smartphones. La majorité des webmasters et des administrateurs systèmes mettent à jour leurs logiciels manuellement et vérifient que l’infrastructure fonctionne correctement. »
Le malware se connecte à un serveur de commande qui lui donne des ordres, et, comme il est modulable il est accompagné de différents plug-ins remplissant chacun une fonction particulière. Pour le moment, huit plug-ins ont été découverts :
- Rfiscan.so : Trouver les sites internet qui ont une vulnérabilité de type RFI (Remote File Inclusion)
- Wpenum.so : Énumérer les utilisateurs d’un site WordPress
- Cmsurls.so : Identifier les pages de connexion des sites basés sur WordPress
- Bruteforce.so : Brute force pour l’authentification sur des sites basés sur WordPress et Joomla
- Bruteforceng.so : Brute force pour les pages d’authentification
- Ftpbrute.so : Brute force sur les comptes FTP
- Crawlerng.so : Crawler les pages web par URL et extraire des informations utiles
- Crawlerip.so : Crawler les pages web par IP et extraire des informations utiles
Dans le cas du plug-in rfiscan.so, le malware cherche des serveurs qui hébergent des sites contenant une vulnérabilité de type « Remote File Inclusion » en vérifiant l’existence d’un fichier « humans.txt ». Si la réponse http contient la chaîne « We can shake » alors le plug-in détermine que le site contient une vulnérabilité RFI.
Une fois la vulnérabilité RFI exploitée, ou une autre vulnérabilité, un script PHP sera exécuté afin de tuer tous les processus « /usr/bin/host », puis, vérifiera qu’il s’agit bien d’une machine Linux ou FreeBSD pour ensuite envoyer un objet malicieux nommé « libworker.so ».
Pendant ce temps, le script PHP définit également une variable nommée « UA », qui inclut l'URL complète du script en cours d'exécution. Un script shell est également exécuté afin de communiquer avec le serveur de commande.
Ensuite, le malware crée un fichier système caché, connu sous le nom « sd0 », et télécharge les 8 plug-ins (aucun d’entre eux n’est détecté par VirusTotal).
Mayhem fût détecté pour la première fois en Avril 2014, et les trois chercheurs précisent qu’il y a d’autres plug-ins en plus des 8 cités, notamment un qui est capable de détecter et d’exploiter les systèmes contenant la vulnérabilité critique « Heartbleed » dans OpenSSL.
