Siapa pun yang mengunjungi halaman web pada server kemudian diserang oleh sebuah halaman web khusus yang dimuat dalam iframe. Para kriminal biasanya menggunakan exploit kit seperti BlackHole untuk memeriksa sistem korban untuk menetapkan satu dari sejumlah kerentanan dalam Flash, Java dan aplikasi lainnya yang dapat dimanfaatkan. Setelah celah eksploitasi diidentifikasi,yang mana digunakan untuk menginstal malware pada sistem pengunjung. Web server pada akhirnya digunakan untuk mengalihkan pengguna ke web server lain yang kemudian dapat menginfeksi sistem mereka.
Perusahaan Anti-virus Kaspersky Lab telah menganalisis malware tersebut. Menurut mereka, rootkit yang telah dijuluki sebagai Rootkit.Linux.Snakso.a, dirancang untuk menargetkan sistem 64-bit dan telah dikompilasi untuk versi kernel 2.6.32-5 yang digunakan dalam Squeeze Debian. Rootkit menambahkan line
insmod /lib/modules/2.6.32 5-amd64/kernel/sound/module_init.ko ke skrip / etc / rc.local, yang memastikan bahwa modul berbahaya dijalankan setiap kali sistem boot.Setelah boot, ia menentukan alamat memori dari sejumlah fungsi kernel, yang kemudian menyusup kedalamnya. Hal ini memungkinkan untuk menyembunyikan diri dari pengguna dan memanipulasi lalu lintas jaringan server. Rootkit memperoleh instruksi penyebaran dari server command dan control. Menurut Kaspersky, rootkit mungkin masih dalam tahap pengembangan.
Pakar keamanan Georg Wicherski juga menganalisis rootkit, dan menunjukkan bahwa itu dikembangkan oleh seorang pemula yang belum memiliki banyak pengalaman dengan kernel. Menurut Wicherski, penyerang yang menyebarkan rootkit mungkin berbasis di Rusia.
Sumber: The H Open
0 comments:
Post a Comment
Terima kasih telah berkomentar di postingan saya kali ini. Silahkan datang kembali pada post-post saya berikutnya ^_^