Malware is gericht op Java-servers

Beveiligingsonderzoekers van Trend Micro hebben een backdoor-achtige malware ontdekt die op Java gebaseerde HTTP-servers infecteert en aanvallers in staat stelt kwaadaardige commando's uit te voeren op de onderliggende systemen.

De dreiging, bekend als BKDR_JAVAWAR.JG, komt in de vorm van een JavaServer-pagina (JSP), een type webpagina dat alleen kan worden geïmplementeerd en geserveerd vanaf een gespecialiseerde webserver met een Java servlet-container, zoals Apache Tomcat. (Zie ook "Beveiliging in 2013: de opkomst van mobiele malware en de val van hacktivisme.")

Nadat deze pagina is geïmplementeerd, kan de aanvaller deze op afstand openen en kan hij de functies gebruiken om te bladeren, te uploaden, bewerken, verwijderen, downloaden of kopieer bestanden van het geïnfecteerde systeem via een webconsole-interface. Dit is vergelijkbaar met de functionaliteit die wordt geboden door op PHP gebaseerde backdoors, beter bekend als PHP Web shells.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

"Afgezien van het verkrijgen van toegang tot gevoelige informatie, kan een aanvaller krijgt controle over het geïnfecteerde systeem via de achterdeur en kan meer kwaadwillige opdrachten uitvoeren op de kwetsbare server ", zeiden Trend Micro-onderzoekers vorige week in een blogpost.

Nodigt andere malware uit

Deze JSP-achterdeur kan door andere worden geïnstalleerd malware die al op het systeem draait waarop de op Java gebaseerde HTTP-server en Java servlet-container worden gehost of die kunnen worden gedownload wanneer naar dergelijke websites wordt gezocht.

Volgens de technische opmerkingen van Trend Micro is de malware gericht op systemen met Windows 2000, Windows Server 2003, Windows XP, Windows Vista en Windows 7.

"Een ander mogelijk aanvalsscenario is wanneer een aanvaller controleert op websites die worden aangedreven door Apache Tomcat en vervolgens probeert toegang te krijgen tot Tomcat Web Application Manager," zeiden de Trend Micro-onderzoekers. "Met behulp van een tool voor wachtwoordscheuren kunnen cybercriminelen inloggen en beheerders- / beheerdersrechten verkrijgen die de inzet toestaan ​​van archiefbestanden (WAR) die zijn verpakt met de backdoor van de server."

Om hun servers tegen dergelijke servers te beschermen bedreigingen, netwerkbeheerders moeten sterke wachtwoorden gebruiken die niet gemakkelijk kunnen worden gekraakt door brute force-tools, moeten alle beveiligingsupdates die beschikbaar zijn voor hun systemen en software implementeren en moeten onbekende en niet-vertrouwde websites bezoeken, aldus de onderzoekers van Trend Micro.