Team peneliti ESET, kembali mengungkap serangan threat baru yang menyerang Webserver yang paling banyak dipakai diseluruh dunia terutama di perusahaan dan lembaga pemerintah yaitu Webserver Apache. Bersama dengan lembaga riset keamanan digital Sucuri, para peneliti di ESET melakukan analisa terhadap threat berkemampuan tinggi, sekaligus sebagai backdoor yang sulit terdeteksi yang digunakan untuk mengalihkan traffic data ke situs berbahaya yang terinfeksi blackhole exploit.
Para peneliti ESET mengidentifikasi backdoor yang merupakan backdoor tercanggih tersebut sebagai Linux/Cdorked.A. Selain itu, dengan dukungan ESET LiveGrid® threat telemetry, team peneliti ESET mengidentifikasi ratusan webserver yang terkontaminasi Linux/Cdorked.A.
Pierre-Marc Bureau, ESET Security Intelligence Program Manager menyatakan “Backdoor Linux/Cdorked.A tidak meninggalkan jejak apapun di hard-disk berbeda dengan file “httpd” yang dimodifikasi, daemon (or service) yang digunakan oleh Apache.
Kemudian semua informasi yang berhubungan dengan backdoor tersimpan di shared memory didalam server, sehingga menyulitkan proses deteksi dan analisa”
Sebagai tambahan, Linux/Cdorked.A dilengkapi kemampuan untuk menghindar dari deteksi, baik di webserver yang sudah berhasil disusupi, maupun pada web browser dari komputer yang masuk ke situs berbahaya yang telah disebutkan diatas.
Pada bagian yang sama, Righard Zwienenberg, Senior Research Fellow ESET menambahkan “Konfigurasi backdoor dikirim oleh penyerang dengan menggunakan HTTP requests yang tidak hanya dikaburkan, tetapi juga tidak dimasukan oleh Apache, sehingga tidak terdeteksi oleh sistem dan alat monitoring yang konvensional. Konfigurasi yang tersimpan didalam memori, membuat perintah dan kontrol informasi ke backdoor tidak terlihat, pada bagian inilah proses analisa forensik menjadi lebih rumit”.
Blackhole exploit kit adalah exploit kit yang populer dan umum yang menggunakan new zero day dan known exploits, untuk mengambil alih kontrol terhadap sistem Anda, saat Anda masuk ke situs yang terinfeksi oleh Blackhole kit.
Kemudian ketika seseorang masuk ke Webserver yang terinfeksi, mereka tidak begitu saja dibawa ke situs terinfeksi – ada web cookie yang sudah diset di browser sehingga backdoor hanya cukup mengalihkan mereka satu kali saja.
Web cookie tersebut tidak ada dan tidak diset di administrator pages: backdoor akan memeriksa referrer field dan jika mereka yang dialihkan menuju ke webpage dari sebuah URL yang memiliki keyword tertentu seperti “admin” atau “cpanel“, maka kemungkinannya tidak ada konten berbahaya didalamnya.
Yudhi Kukuh, Technical Consultant PT. Prosperita-ESET Indonesia menyampaikan “ESET sangat menganjurkan pada para system administrator untuk memeriksa kembali server mereka dan melakukan verifikasi untuk memastikan sistem tidak terkontaminasi atau tidak terpengaruh oleh threat tersebut”
“Untuk membantu melakukan deteksi kini sudah tersedia secara lengkap berikut instruksi untuk melakukan pemeriksaan backdoor tersebut. Untuk pemahaman yang lebih mendalam juga disertakan file analisa teknis tentang Linux/Cdorked.A yang bisa dilihat dengan mengunjungi situs www.welivesecurity.com”
