By | March 1, 2018

מומחי אבטחה SiteLock מצאו כי מאות אתרי אינטרנט בהתבסס על וורדפרס, ג’ומלה, CodeIgniter קיבלתי נגוע הזדונית ionCube.

התוכנה הזדונית ionCube הוא טכנולוגיית קידוד משמשים להגנה על תוכנות PHP מלהיות שהוצג שהשתנו, ריצה על מחשבים ללא רישיון.

במהלך ניתוח אתר וורדפרס נגוע, המומחים נמצאו קבצים חשודים רבים, כגון “diff98.php” ו- “wrgcduzk.php”, מחופש לגיטימית ionCube-קידוד קבצים להונות קורבנות. על פי ניתוח החוקרים, מאות אתרי אינטרנט נדבקו בדיוק באותו זדוניות ionCube.

“תוך סקירת באתר נגוע, צוות המחקר SiteLock מצא מספר קבצים בשם בחשדנות, מבלבל שמופיעים כמעט זהה לגיטימית ionCube-קידוד קבצים. קבענו הקבצים ionCube חשוד היו זדוני, ומצא כי מאות אתרים ואלפי קבצים שהושפעו. “ הברית ניתוח SiteLock.

“באופן כללי, החקירה שלנו נמצאו למעלה מ-700 אתרים נגועים, בהיקף של מעל 7,000 קבצים נגועים.”

מלבד האתרים בהתבסס על וורדפרס, ניתוח עמוק יותר של תוכנות זדוניות חשף כי האקרים שנפרצו ג’ומלה ואתרי CodeIgniter גם כן.

באופן תיאורטי, הטפיל עלול להדביק לכל אתר המבוסס על שרת אינטרנט בו פועל PHP, פעם לפענח, הקבצים ionCube זיוף להלחין את התוכנה הזדונית ionCube.

“עוד יש מידה מסוימת של ערפול, הנוכחות של מציבה את $ ו- $_COOKIE superglobals ואת הבקשה eval בסוף הקובץ לחשוף את מטרתה האמיתית: לקבל ולבצע מרחוק קוד שסופק.” הניתוח של קורא. “זה נראה כאילו קוד מרחוק שסופק לקובץ זה הוא עוד יותר מבלבל. ושם יכול להיות סוג של בקרת גישה ליישום, אם לשפוט לפי ה-GUID בתבנית מחרוזת הנוכחי”

בנוסף, מומחי אבטחה מומלץ למנהלים לבדוק הנוכחות של ionCube-קידוד קבצים במערכת כמחוון של פשרה.

במקרה שזיהום מזוהה, סריקה של האתר כולו מומלצת מאוד, כדי לסלק את האיום. בנוסף, האימוץ של חומת האש יישום אינטרנט (ב AF) היא חובה.

“אם אתה למצוא סממנים של זיהום זה, אנו ממליצים בעל האתר לסרוק עבור תוכנות זדוניות בהקדם האפשרי, תוכנה זדונית זו לעתים רחוקות מופיעה בכוחות עצמו.” הניתוח למסקנה.

“זה חשוב במיוחד אם אתה משתמש של ionCube-מקודד יישום, כמו ידני המבדילים את קבצים זדוניים לבין אלו לגיטימית היא קשה, וזה מקובל לראות עד 100 וריאציות שונות במקצת של תוכנה זדונית זו באתר יחיד.”

Leave a Reply

Your email address will not be published. Required fields are marked *