Форум

Малварь может самостоятельно восстанавливаться

Описания и их задачи, способы лечения.

Малварь может самостоятельно восстанавливаться

Сообщение Morena » 17 фев 2017, 19:13

Малварь может самостоятельно восстанавливаться.

Необычного вредоноса, атакующего магазины на платформе Magento, обнаружил голландский разработчик Ерун Бурсма (Jeroen Boersma), а подробный анализ малвари провел исследователь Виллем де Грот (Willem de Groot).

Дело в том, что малварь может самостоятельно восстанавливаться, используя для этого код, скрывающийся в БД скомпрометированного сайта.

В своем блоге де Грот рассказывает, что вредонос выполняется каждый раз, когда пользователь размещает на зараженном сайте новый заказ. Когда это происходит, триггер вредоносной базы данных (хранимая процедура, хранящихся вместе с объектами базы данных и автоматически выполняющихся, когда используются определенные команды SQL) срабатывает до того, как Magento успевает разобраться с PHP-кодом и ассемблировать страницу.

Триггер базы данных проверяет, чтобы вредоносный JavaScript-код присутствовал сразу в хедере, футере и разделе копирайта. Кроме того, проверяются еще несколько разных блоков, в которых в Magento CMS может находиться вредоносный код.

На тот случай, если вредоносный JavaScript не обнаружен, триггер БД содержит инструкции, которые позволяют встроить код на сайт заново, для чего производится ряд SQL-операций. Исследователь утверждает, что эта первая самовосстанавливающаяся малварь для Magento.

«Вредоносы и раньше хранились в БД, но в формате простого текста. Вы могли просканировать базу данных и понять, содержится ли в ней что-то вредоносное. Но теперь малварь выполняется внутри БД. И я впервые вижу малварь, написанную на SQL. Раньше вредоносов писали на JS или PHP», — рассказывает де Грот.
В этом исследователь определенно прав: даже этот вредонос тоже имеет JavaScript- и PHP-компоненты, которые примеряются для хищения информации о банковских картах пользователей, а вот SQL составляющая – это действительно что-то новое. По словам эксперта, она используется для продления «жизни» малвари на максимально долгий срок. За счет этого вредонос успешно сопротивляется всем попыткам удаления, ведь теперь он атакует саму БД, а не e-commerce приложение.

Исследователь говорит, что данный образчик малвари заражает БД после успешной брутфорс-атаки на /rss/catalog/notifystock/, и такая картина наблюдается даже в полностью пропатченных магазинах, работающих с актуальными версиями Magento.

Специально для пострадавших де Грот опубликовал в блоге простую инструкцию по обнаружению и удалению вредоносного триггера БД. Для проверки своих сайтов на предмет заражения, исследователь предлагает воспользоваться его инструментами MageReport или Magento Malware Scanner, которые уже были обновлены и умеют распознавать новый тип атак.
Morena
 
Сообщения: 95
Зарегистрирован: 12 фев 2017, 18:34
Откуда: Москва

Re: Малварь может самостоятельно восстанавливаться

Сообщение GregoryBix » 18 мар 2020, 19:42

GregoryBix
 
Сообщения: 7153
Зарегистрирован: 28 янв 2020, 03:13
Откуда: Zambia


Вернуться в Вирусы

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Information

Кто сейчас на конференции

Всего посетителей: 1, из них зарегистрированных: 0, скрытых: 0 и гостей: 1 (основано на активности пользователей за последние 5 минут)
Больше всего посетителей (455) здесь было 24 мар 2020, 03:16

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1