#1 Le 27/11/2012, à 06:49
- Dell-ubuntu
Une nouvelle forme de code malicieux exploitant Debian Squeeze et NGIN
"Une nouvelle forme de codes malicieux vient d’être découverte, elle se caractérise notamment par le fait qu’elle cible les ordinateurs fonctionnant sous un système d’exploitation de type GNU/Linux faisant office de serveurs Web. Ce code malicieux autorisant un attaquant à injecter du code au sein de n’importe quelle page Web accédée via un serveur Web infecté.
Ce code malicieux semble avoir par ailleurs été tout particulièrement forgé afin de fonctionner sur l’édition 64-bit de système d’exploitation Debian Squeeze et le serveur Web Open Source NGINX. Une analyse de Kaspersky Labs révélant que ce sont en fait des éléments de type iframes HTML qui sont injectés au sein de toutes les pages Web disponibles via NGINX.
Le code malicieux remplaçant pour cela avec son propre code le code du système d’exploitation qui est en charge de la création des paquets TCP/IP (tcp_sendmsg). Le code malicieux va ensuite récupérer un autre code, qui sera inséré dans l’iframe, en se connectant à l’aide d’un mot de passe chiffré vers un réseau de commande et de contrôle, style Botnet.
Désigné comme Rootkit.Linux.Snakso.a par Kaspersky, ce code malicieux, apparemment d’origine russe, représente donc une nouvelle approche dans les attaques de type Drive-by donwload. Ce type d’attaques se basant habituellement sur des scripts de type PHP et non pas sur du code injecté au sein du noyau même du système d’exploitation comme c’est le cas ici.
Du fait que ce sont toutes les pages Web disponibles via le serveur Web qui sont infectées et non pas seulement une ou quelques pages spécifiques, il est à envisager que ce code malicieux pourrait exploiter à l’avenir de très nombreux sites dans un intervalle de temps réduit si il était amené à infecter des serveurs appartenant à des sociétés de services d’hébergement Web".
#2 Le 27/11/2012, à 15:04
- Dell-ubuntu
Re : Une nouvelle forme de code malicieux exploitant Debian Squeeze et NGIN
"Selon l’éditeur de sécurité, ce rootkit, baptisé ‘Rootkit.Linux.Snakso.a’, cible toutefois une version précise
du noyau Linux 2.6.32-5-amd64, embarqué justement dans la version Debian Squeeze.
Enfin, il essaie de cacher sa propre activité, note également Kaspersky".
"Il injecte des iframe ou du Javascript dans des pages Web en bidouillant des paquets TCP.
L'iframe ou le javascript devant être injecté n'est pas contenu au départ dans le rootkit.
Celui-ci le demande à un serveur tiers avant de l'injecter dans le serveur attaqué.
Ce rootkit serait conçu pour des attaques de grande envergure pendant lesquelles un maximum d'internautes seront susceptibles d'être trompés, toujours selon Kaspersky".
Dernière modification par Dell-ubuntu (Le 27/11/2012, à 15:06)