後門程式偽裝Java伺服器,控制有漏洞的網頁伺服器
類似BKDR_JAVAWAR.JG的惡意軟體證明了網頁伺服器也會是網路犯罪份子的目標,可以被用來儲存重要資料,也可以在不知情使用者連上這些受影響網站時,輕易地去感染他們的系統。
趨勢科技最近發現到一個Java伺服器網頁出現後門程式行為的BKDR_JAVAWAR.JG,並且控制有漏洞的伺服器。這惡意軟體可能是經由某惡意網站的檔案下載,或是被其他惡意軟體所植入。
這攻擊要得逞,目標系統必須是Java Servlet容器(像是Apache Tomcat),或是Java-based的HTTP伺服器。另一個可能是當攻擊者檢查到採用Apache Tomcat的網站時,就會試圖存取Tomcat Web應用程式管理員。
利用密碼破解工具,網路犯罪份子可以登錄並獲得管理權限,能夠佈署包含後門程式的Web應用程式包(WAR)到伺服器。這後門程式會自動地被加入可存取的Java伺服器網頁。要執行動作,攻擊者可以連到Java伺服器網頁的下列路徑:
{Tomcat Webapps目錄內的子目錄}/{惡意軟體名稱}
一旦完成,就可以透過下面的網頁主控台來利用這後門程式進行瀏覽、上傳、編輯、刪除、下載或從受感染系統複製檔案:
也可以利用這網頁主控台來遠端輸入命令列指令:
攻擊者可以透過網頁主控台來查看系統資訊、程式版本、安裝和重要目錄資訊:
除了能夠存取敏感資訊,攻擊者可以透過這後門程式來控制受感染系統,在這有漏洞的伺服器上進行更多惡意指令。