اخبار پر بازدیدارزیابی امنیتی وب و سرورحملات سایبری

شناسایی وب شل “Ensiko” مبتنی بر PHP با قابلیت باج افزاری

shell، خبر سایبری ، اخبار سایبری ، امنیت سایبری ، کانال خبری سایبری

اخبار سایبریweb shell

محققان امنیتی اخیرا موفق به شناسایی یک وب شل جدید مبتنی بر PHP با نام Ensiko با قابلیت باج افزاری شده اند که به PHP های نصب شده بر روی سیستم عامل هایی مانند Linux ،Windows ،MacOS و سایرین حمله می کند. این بدافزار قادر است دسترسی از راه دور را برای هکر مهیا و از طریق shell معکوس PHP دستورات حمله کننده را اجرا کند.

محققان امنیتی Trend Micro در بررسی های اولیه متوجه شدند که این بدافزار پس از  آلوده کردن سرورها اقدام به اسکن صفحات وب، ارسال ایمیل های دسته جمعی، دانلود فایل های ریموت، حملات بروت فورس بر روی پروتکل های FTP، سیستم cPanel و Telnet، اوررایت (overwriting) کردن فایل ها با پسوند های مشخص و …  می کند.

Webshell با قابلیت Ransomware

این یک بدافزار password-protected است یعنی صفحه ای که پیدا نشده (not found) را با یک فرم ورود مخفی نمایش می دهد، از RIJNDAEL_128 با حالت CBC برای رمزگذاری فایل ها در دایرکتوری های وب استفاده می کند و پسوند “bak.” را پیوست می کند. نمونه فرم ورودی مخفی را در  زیر می توانید مشاهده کنید

خبر سایبری

همچنین یک فایل index.php را دراپ می کند و آن را به عنوان صفحه پیش فرض با استفاده از یک فایل htaccess. قرار می دهد.

نمونه فایل ایندکس تعویض شده 

اخبار سایبری

در ادامه می توانید ویژگی های Ensiko را مشاهده می کنید:

Features Description
Priv Index Download ensikology.php from pastebin
Ransomeware Encrypt files using RIJNDAEL 128 with CBC mode
CGI Telnet Download CGI-telnet version 1.3 from pastebin;CGI-Telnet is a CGI script that allows you to execute commands on your web server.
Reverse Shell PHP Reverse shell
Mini Shell 2 Drop Mini Shell 2 webshell payload in ./tools_ensikology/
IndoXploit Drop IndoXploit webshell payload in ./tools_ensikology/
Sound Cloud Display sound cloud
Realtime DDOS Map Fortinet DDoS map
Encode/Decode Encode/decode string buffer
Safe Mode Fucker Disable PHP Safe Mode
Dir Listing Forbidden Turn off directory indexes
Mass Mailer Mail Bombing
cPanel Crack Brute-force cPanel, ftp, and telnet
Backdoor Scan Check remote server for existing web shell
Exploit Details Display system information and versioning
Remote Server Scan Check remote server for existing web shell
Remote File Downloader Download file from remote server via CURL or wget
Hex Encode/Decode Hex Encode/Decode
FTP Anonymous Access Scaner Search for Anonymous FTP
Mass Deface Defacement
Config Grabber Grab system configuration such as “/etc/passwd”
SymLink link
Cookie Hijack Session hijacking
Secure Shell SSH Shell
Mass Overwrite Rewrite or append data to the specified file type.
FTP Manager FTP Manager
Check Steganologer Detects images with EXIF header
Adminer Download Adminer PHP database management into the ./tools_ensikology/
PHP Info Information about PHP’s configuration
Byksw Translate Character replacement
Suicide Self-delete

برخی هکرها از تکنیک steganography (روشی برای مخفی کردن اطلاعات خاص است) برای مخفی کردن کد درون قالب های فایل تصویری قابل تعویض (EXIF) (هدر یک فایل تصویری) استفاده می کنند.

عکس زیر یک رابط وب شل است

حمله سایبری

بدافزار  Ensiko شامل دو روش اسکن است:

  • Backdoor Scan – اسکن وب شل از یک لیست هارد کد شده.
  • اسکن سرور از راه دور – سرور آلوده را اسکن می کند تا اگر وب شل دیگری در آن بود پیدا کند.

خلاصه اینکه: هکرها با تزریق Ensiko می توانند به فرآیندهای مدیریت از راه دور، رمزگذاری فایل و پروسه های مختلف دسترسی داشته باشند. همیشه باید سرور خود را از وجود شل ها بررسی کنید . .. .

دیدگاهتان را بنویسید