Cdorked

ภัยคุกคาม Cdorked ออกแบบมาเพื่อกำหนดเป้าหมายระบบ Linux เท่านั้น นักวิเคราะห์ความปลอดภัยของไซเบอร์ได้ค้นพบโทรจันลับๆนี้เป็นครั้งแรกเมื่อประมาณเจ็ดปีที่แล้ว หลังจากดูกิจกรรมของภัยคุกคามนี้มันจะปรากฏว่าช่วงเวลาแบบไดนามิกที่สุดสำหรับ Cdorked Trojan คือในปี 2013 เมื่อมันถูกพบในหลายร้อยเว็บเซิร์ฟเวอร์ เว็บเซิร์ฟเวอร์ที่ถูกบุกรุกทั้งหมดได้รับการออกแบบมาเพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าเว็บที่เสียหายซึ่งมีวัตถุประสงค์เพื่อเผยแพร่มัลแวร์ประเภทต่างๆ

ข้อได้เปรียบหลักของ Cdorked Trojan คือมันทำงานได้เงียบ ๆ ผู้สร้างโทรจันลับๆ Cdorked ได้ทำให้แน่ใจว่าภัยคุกคามนี้ทำงานเกือบไร้สาระ ซึ่งหมายความว่าส่วนใหญ่ของไฟล์และการตั้งค่าจะถูกเก็บไว้ในหน่วยความจำของระบบ อย่างไรก็ตามนักวิจัยมัลแวร์ได้ระบุหนึ่งไฟล์ที่เกี่ยวข้องกับแคมเปญ Cdorked อย่างแน่นอน - 'httpd' นี่เป็นตัวแปรที่เปลี่ยนแปลงของไฟล์เรียกทำงานของ Apache เว็บเซิร์ฟเวอร์ เมื่อโทรจัน Cdorked ประนีประนอมระบบมันจะสามารถเปลี่ยนการตั้งค่าผ่านการร้องขอ HTTP ที่สร้างขึ้นโดยเฉพาะ คำขอเหล่านี้ได้รับการออกแบบเพื่อให้ Apache เว็บเซิร์ฟเวอร์ไม่ได้เข้าสู่ระบบดังนั้นจึงมั่นใจได้ว่าจะมีการลักลอบโทรจัน Cdorked เป็นพิเศษ ดังที่เราได้กล่าวไปแล้วโทรจันลับๆ Cdorked เป็นภัยคุกคามที่ซ่อนเร้นซึ่งสามารถสร้างความเสียหายได้มากก่อนที่เหยื่อจะสังเกตเห็นว่ามีอะไรผิดปกติ

โทรจัน Cdorked จะเชื่อมต่อกับเซิร์ฟเวอร์ C&C (Command & Control) ของผู้โจมตีและรับคำสั่งจากมัน การสื่อสารทั้งหมดระหว่างเอนทิตีทั้งสองนั้นได้รับการเข้ารหัสอย่างปลอดภัยซึ่งทำให้ผู้ดูแลระบบของเซิร์ฟเวอร์ที่ถูกบุกรุกสามารถระบุภัยคุกคามได้ยากขึ้น โทรจันลับๆ Cdorked สามารถตรวจสอบแถบที่อยู่ของผู้ใช้และค้นหาสตริงที่เจาะจงเช่น 'cpanel,' 'host,' 'webmin,' 'secur' เป็นต้นการปรากฏตัวของสตริงเหล่านี้จะมีความหมายว่าผู้ใช้ กำลังเข้าสู่หน้าเว็บที่พวกเขาดูแล หากมีการตรวจพบผู้ใช้จะไม่ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ไม่ปลอดภัยเนื่องจากอาจทำให้เกิดข้อสงสัย

ภัยคุกคามที่ออกแบบมาเพื่อใช้งานหลังจากระบบ Linux นั้นไม่ได้เกิดขึ้นบ่อยนักในอดีต แต่ในแต่ละปีที่ผ่านมามีมัลแวร์มากขึ้นเรื่อย ๆ ที่ออกแบบมาเพื่อกำหนดเป้าหมาย Linux อย่าเพิกเฉยต่อความปลอดภัยของระบบและตรวจสอบให้แน่ใจว่าได้รับโซลูชันป้องกันมัลแวร์ของแท้ที่จะทำให้คุณปลอดภัย