Web sunucusu olarak kullanılan Linux sunucularını hedef alan yeni bir malware, saldırganların sunucu üzerindeki herhangi bir sayfaya kod girebilmesini sağlıyor; buna hata sayfaları da dâhil. Yeni rootkit, Debian Squeeze ve NGINX’in 64 bitlik sürümlerini çalıştıran sunucular için geliştirilmişe benziyor.
Kaspersky’nin yaptığı analizlere göre rootkit, sunucuya bağlanan Web tarayıcılarına gönderilen her sayfaya HTML iframe unsurları yerleştiriyor. Bunu, TCP/IP paketlerini (tcp_sendmsg) yapan kodu kendi koduyla değiştirerek yapıyor. Bunun ardından malware aynen botnet gibi şifreli giriş koduyla bir komuta kontrol ağına bağlanarak iframe içine yerleştirilecek kodu elde ediyor.
Kaspersky’nin Rootkit.Linux.Snakso.a adını verdiği yeni rootkit’in, drive-by download’a yeni bir yaklaşım olduğu belirtiliyor. Sadece belirli bir sayfayı değil de tüm sunucuyu etkilediği için bir Web yer sağlayıcının sunucusunu etkilemesi durumunda düzinelerce, belki de yüzlerce web sitesini etkileme potansiyeli taşıyor.
Crowdstrike’ın kıdemli güvenlik araştırmacısı Georg Wicherski’nin belirttiğine göre yeni rootkit büyük ihtimalle bir Rus hackerın işi. Wicherski’nin blogunda belirttiğine göre “bu rootkit, derin bir kernel deneyimi olmayan orta düzey bir programcının sipariş üzerine yaptığı bir iş”. Programcının benimsediği yaklaşım, “iframe enjekte edilen suç operasyonlarında, kitlerin suistimal edildiği yeni bir adımı temsil ediyor. Bu yaklaşım, belirli bir gruba karşı, geride pek de iz bırakmayan hedef gözeten bir saldırı gerçekleştirmek için gerçekleştirilen bir Waterhole saldırısında da kullanılabilir.”
