CryptoPHP infekcija

Crypto PHP infekcija, nulled teme i skripte

Dana 20.11.2014 Nizozemska tvrtka za internet sigurnost “Fox-IT” objavila je podužu analizu otkrivenog sigurnosnog propusta u velikom broju WordPress, Joomla i Drupal CMS-ova. Radi se o Crypto PHP infekciji velikog broja stranica zbog instalacije “nulled” tema i plugina. “Nulled” verzije tema i skripti su hakirane verzije koje su inače komercijalne i plaćaju se, a u ovom slučaju se mogu besplatno preuzeti sa raznih nulled, warez i sl. stranica koje su inače mjesto za preuzimanje raznog ilegalnog i piratskog sadržaja.

Crypto PHP

CryptoPHP se koristi kao backdoor ulaz za Joomla, WordPress i Drupal teme i dodatake kako bi se kompromitirao kompletan web server. Preuzimanjem i instaliranjem piratiziranih tema i dodataka besplatno umjesto uz plaćaje naknade autorima, CryptoPHP koristi socijalni injženjerig prema administratorima stranica koji zajedno sa temom ili skriptom instaliraju i backdoor ulaz na svoj hosting račun i web server.

Nakon što je instaliran na web poslužitelju backdoor ulaz ima nekoliko opcija kojima kontrolira koje naredbe će se izvršavati, može se preuzeti nadzor nad komunikacijom servera, preuzeti email komunikaciju kao i ručnu kontrolu servera.

Operatori CryptoPHP trenutno zloupotrijebljvaju backdoor ulaz za ilegalne optimizacije stranica za tražilice, također poznato kao “Blackhat SEO”. Backdoor je dobro razvijen dio koda i dinamičan u upotrebi. Neke od sposobnosti CryptoPHP backdoor ulaza su:

  • Integracija u popularne sustave za upravljanje sadržajem kao što su WordPress, Drupal i Joomla
  • Javni ključ za šifriranje komunikacije između napadnutog poslužitelja i zapovjednog i kontrolnog (C2) poslužitelja
  • Opsežna infrastruktura u smislu C2 domena i IP-a
  • Backup mehanizmi u obliku e-mail komunikacije u slučaju da su C2 domene srušene
  • Ručno upravljanje backdoor ulazom osim putem C2 komunikacije
  • Daljinski ažuriranje popisa C2 poslužitelja
  • Sposobnost da se sam ažurira

“Fox-IT” je do 12.11.2014. identificirao na tisuće backdoor ulaza u datotekama tema i plugina koje su sadržavale 16 različitih verzija CryptoPHP-a. Prva verzija 0.1 zabilježena je 25.09.2013, a trenutno aktualna verzija je 1.0a koja je prvi put objavljen 12.11.2014. godine. Nažalost nije moguće detaljno odrediti broj zaraženih stranica, no procjena je da je sa CyptoPHP zaraženo nekoliko tisuća web stranica.

Sve teme i plugini koji su zaraženi obično na kraju datoteke imaju php include() funkciju “social.png” datoteke.

Svakom php developeru ovo će odmah upasti u oči pošto ovo nije način za učitavanje slika već php skripti.

Detaljna analizu CryptoPHP-a možete pročitati na https://foxitsecurity.files.wordpress.com/2014/11/cryptophp-whitepaper-foxsrt-v4.pdf