Desenterrado Rootkits escondidos no PHP, colocando os módulos do Apache em risco

Os módulos do Apache podem ser usados como um novo vetor de ataque para tornar mais fácil para os cibercriminosos assumirem os servidores da Web. O Bleeping Computer informou que o desenvolvedor holandês Luke Paris criou um rootkit que se esconde dentro de um módulo PHP e ataca servidores através de módulos do Apache, que são servidores HTTP de código aberto.

Sobre o vetor da ameaça

Um rootkit é um código que permite acesso ao nível do administrador a um computador ou rede que os invasores podem explorar para injetar códigos maliciosos. A maioria dos rootkits tradicionalmente trabalha perto do kernel do sistema operacional. Os atacantes muitas vezes precisam de habilidades de codificação avançadas para evitar quebrar o computador de uma vítima.

Paris adotou uma abordagem mais simples, desenvolvendo um rootkit que interage com o interpretador PHP em vez do kernel do sistema operacional. Em seu site, o Paris explicou que escrever um módulo PHP é mais fácil do que um kernel porque a base do código é menor, melhor documentada e mais simples. Ele criou o método para educar os outros sobre os perigos potenciais dos módulos PHP mal-intencionados.

O uso de módulos PHP para ocultar os rootkits forneceu várias vantagens para atores nefastos. Por exemplo, as falhas são menos prováveis, e os rootkits PHP só precisam se conectar a um processo do sistema, enquanto os rootkits do kernel devem se conectar a muitos. Além disso, o PHP é uma linguagem multi-plataforma, o que significa que o código escrito para uma plataforma pode ser facilmente compilado para ser executado em outro.

Paris publicou o código-fonte do rootkit completo no GitHub para referência pública. O seu rootkit se encaixa na função SHA-1 do servidor PHP, que é um algoritmo criptográfico que gera hashes para dados digitais que ajudam a comprovar a identidade de um arquivo. Todo o rootkit é apenas 80 linhas de código e pode se esconder facilmente em módulos legítimos. A existência desse rootkit representa um novo vetor de ataque potencial para atores errantes e os administradores de servidores devem começar a pensar em ações preventivas.

Respondendo aos Módulos Apache Maliciosos

Os especialistas já estão conscientes do risco crescente de autores de malware criando ataques que injetaram código malicioso em kernels do sistema operacional. O que torna o trabalho de Paris diferente é o foco no PHP, embora a Bleeping Computer tenha notado que ele não é a primeira pessoa a sugerir esconder código malicioso nos módulos do Apache. O desenvolvedor de Londres, Christian Papathanasiou, escondeu um rootkit semelhante dentro de um módulo do Apache no GitHub em 2015.

Manter uma lista dos hashes do módulo após a instalação do PHP é a maneira mais simples de detectar se algum deles é mal-intencionado. Paris até publicou um script Python em seu site que permite aos usuários verificar os hashes SHA-1 de seus módulos PHP.

Scott Arciszewski, diretor de desenvolvimento da Paragon Initiative Enterprise, disse à Bleeping Computer que a única modificação que ele faria no script de mitigação de Paris é usar hash SHA-256 no lugar de SHA-1. Os especialistas também sugeriram que as empresas deveriam passar urgentemente do SHA-1 para alternativas mais seguras, como a SHA-256.

O novo vetor de ataque apresenta outra ameaça aos chefes de segurança da empresa que já estão lutando para proteger suas organizações do crescente desafio de malware. Os decisores de TI devem garantir que suas empresas se concentrem em técnicas para ajudar a prevenir injeções de códigos maliciosos.

Fonte