Trussel ændrer direkte i TCP-pakker

Artiklen blev oprindeligt publiceret den 20/11/2012

Et skadeligt program til webservere anvender en ny metode til at indsætte farlig programkode: Det ændrer direkte i TCP-pakkerne på styresystemniveau.

Programmet blev opdaget på en webserver, hvor alle websider blev udstyret med en Iframe-kommando, der linkede til skadelig kode på en anden server.

Sikkerhedsfirmaet Crowdstrike har analyseret programmet. Det er skrevet til 64-bit Linux og benytter forskellige tricks til at skjule sin tilstedeværelse. Dermed er der tale om en slags rootkit.

Det skadelige program kobler sig på styresystemets funktion til at sende TCP-meddelelser. Her indsætter det links, som det får indhold til fra en anden server, det kommunikerer med.

De indsatte links bruges til drive-by-angreb, hvor besøgende browsere forsøges inficeret via kendte sårbarheder i dem.

Anbefaling
Hvis jeres websted bliver anklaget for at udsende links til skadelige sider, kan det være inficeret med kode i stil med dette rootkit. Læs Crowdstrikes eller Kasperskys analyse for tegn på infektion.

Links

• HTTP iframe Injecting Linux Rootkit, analyse fra Crowdstrike
• New 64-bit Linux Rootkit Doing iFrame Injections, analyse fra Kaspersky
• Linux rootkit in combination with nginx, indlæg fra Full Disclosure-mailinglisten