攻擊Apache Tomcat的後門程式特徵

 

  • 以Java程式語言的Java
  • Servlet寫成後門程式,非常見的PHP
  • 主要攻擊針對Apache Tomcat網站伺服器
  • 透過IRC(網路聊天室)接收駭客攻擊指令
  • 駭客利用受駭電腦發動DDoS攻擊
  • 受駭伺服器位於巴西、中國、義大利、日本、南韓、新加坡、瑞典、臺灣、美國和越南等10國
  • 操控受駭電腦的C&C(命令與控制)伺服器則位於臺灣和盧森堡
  • 位於臺灣的命令與控制伺服器,其IP位址來自公務機關

資料來源:賽門鐵克,2013年12月

 


資安公司賽門鐵克日前在其官方部落格表示,近期發現開源網站伺服器Apache Tomcat伺服器,遭到一款跨平臺後門程式鎖定,後門程式入侵網站伺服器後,透過IRC(網路聊天室)接收駭客攻擊指令,並成為發動DDoS的傀儡電腦。

目前發現,巴西、中國、義大利、日本、南韓、新加坡、瑞典、臺灣、美國和越南等10國,都出現受駭的伺服器,而操控這些受駭伺服器的C&C(命令與控制)伺服器則位於臺灣和盧森堡。

臺灣賽門鐵克資深技術顧問張士龍表示,這是首度發現後門程式針對跨平臺Apache Tomcat伺服器發動攻擊,進一步追查發現,位於臺灣的C&C伺服器來自於公務機關。行政院資通安全辦公室主任蕭秀琴表示,技服中心已經接獲相關的通報,日前已經開始著手進行相關的處理。

以Java Servlet撰寫的後門程式,針對網站伺服器發動攻擊
賽門鐵克日前發現一支以Java程式語言的Java Servlet寫成後門程式,並命名為Java.Tomdep.。賽門鐵克指出,一般的惡意程式或後門程式,經常以PHP語言撰寫,少見用Java Servlet撰寫,此後門程式更鎖定網站伺服器做為主要攻擊對象。

張士龍表示,常見的惡意程式主要目的是入侵個人電腦,並藉此操控受駭電腦,遠端遙控並發動各種網路攻擊;至於後門程式主要的目的則是,專門從受駭電腦的系統中,蒐集各種主機資訊,例如:作業系統名稱與版本、電腦架構、本地和全球IP位址、主機名稱等。他說,後門程式雖然常泛指為惡意程式,但攻擊細節仍有不同。

一般的網站使用者,若只是單純瀏覽被植入Java.Tomdep.的Apache Tomcat網站的網頁時,其實並不會受駭,但張士龍指出,只要使用者執行各種指令或動作,包括標準的上傳、下載、建立新的程序、SOCKS代理、自動更新等,駭客就會趁機將該後門程式植入正在瀏覽受駭網站的電腦中,藉此控制該臺電腦。

除了因為執行上述各種指令而被植入後門程式外,受駭電腦也會自動掃描其他Apache Tomcat伺服器,一旦網路上其他開源網站伺服器使用脆弱的帳號和密碼,原本的受駭電腦就可以利用脆弱的帳號密碼入侵,並傳送Java.Tomdep.這個後門程式到另外一臺Apache Tomcat伺服器中。他說,當駭客控制這些網站伺服器時,就可以進一步可以發動類似DDoS攻擊的UDP Flooding攻擊。

發動攻擊的C&C伺服器IP來自臺灣公務機關
賽門鐵克表示,針對這個惡意程式下達各種攻擊指令的C&C伺服器,主要位於臺灣和盧森堡兩個國家。張士龍表示,根據內部的調查資料顯示,這個位於臺灣的C&C伺服器,其IP位址來自於公務機關。

他說,當政府公務機關的網站,淪為駭客控制其他受駭電腦的C&C伺服器時,也意味著政府機關在網站伺服器的防護上出現了很大的漏洞,而當這個C&C伺服器的網站IP位址,成為各家防毒業者拒絕連網的黑名單時,公務機關也無法持續提供應有的網站服務,對於民眾以及所有的網路使用者,都會造成負面影響。

蕭秀琴表示,政府部門接獲相關的通報後,已經委由技服中心展開後續的清理作業,確保公務機關網站伺服器的安全性。

目前遭受到Java.Tomdep.後門程式攻擊的網站伺服器,位於歐洲、美洲與亞洲等10個國家,張士龍指出,以往沒有看過這類可以攻擊跨平臺Apache Tomcat伺服器的手法,目前研判這類攻擊手法仍在發展的初期。

因為受駭伺服器會自動對外發動攻擊,張士龍建議,許多企業必須提高網站伺服器端的資安防護機制,所有Apache Tomcat網站伺服器仍應落實弱點更新,安裝伺服器版的防毒軟體,同時強化網站伺服器的帳號與密碼管理,並且不提供任何公開存取管理的通訊埠,以確保網站伺服器的安全性。文⊙黃彥棻

 


Advertisement

更多 iThome相關內容