Даже самые неприметные уязвимости и редко используемые приложения порой способны привлечь внимание хакера.

Исследовательские ловушки SpiderLabs компании Trustwave недавно зафиксировали автоматизированную атаку, ориентированную на пользователей HTTP File Server (HFS) — open-source-программы для обмена файлами, разработанной итальянским программистом Rejetto. Неизвестный злоумышленник пытался эксплуатировать уязвимость (ныне пропатченную) и установить инструмент для DDoS-атак, известный под именами IptabLex и IptabLes (не путать с легитимной утилитой для Linux).

За последнюю неделю февраля Rejetto HFS была скачана более 24 тыс. раз; согласно веб-сайту проекта, эту программу используют 12,5 тыс. юзеров, причем и как приложение для публикации файлов, и как веб-сервер. Ее можно также запускать с помощью Wine, эмулятора Windows для Linux-систем.

Не исключено, что обнаруженный SpiderLabs эксплойт являлся лишь одним из этапов более масштабной атаки. «Это было лишь одно событие, один запрос, — поясняет Райан Барнет (Ryan Barnett), ведущий эксперт SpiderLabs. — Прецедент, который можно экстраполировать, чтобы получить более общую картину. Вполне возможно, там объявится и другая вредоносная активность».

Эксплойт, о котором идет речь, подгрузился с китайского, вероятно, скомпрометированного IP-адреса и был нацелен на уязвимость CVE-2014-6287, открывающую возможность для удаленного исполнения кода. Данная брешь актуальна для версий Rejetto ниже 2.3c и связана с некорректным выполнением функции findMacroMarker. Для запуска вредоносного кода, написанного на VBScript, злоумышленники, по свидетельству Барнета, используют нулевой байт.

После отработки эксплойта скомпрометированный сервер попытался установить соединение с двумя парижскими IP (123[.]108.109.100 и 178[.]33.196.164) на трех портах: 80 (HTTP), 53 (DNS) и 443 (HTTPS). На настоящий момент активен лишь 178[.]33.196.164, на котором, как оказалось, размещен репозиторий, отвечающий на запросы XML HTTP (XHR).

При успешной эксплуатации на скомпрометированный сервер загружаются два исполняемых файла, getsetup.exe и ko.exe — дроппер IptabLes. Детектируемость getsetup.exe, по словам Барнета, высока. Сам IptabLes — инструмент довольно неприятный; он поддерживает SYN flood и DNS flood и устанавливается с самозагрузкой, чтобы обеспечить себе постоянное присутствие в системе. По данным SpiderLabs, ранее IptabLes щедро раздавался на Linux- и Unix-серверы.

Обнаруженная в HFS уязвимость была поставлена вендору на вид в минувшем сентябре. «Она не очень сложна, и большинство таких атак можно предотвратить, — уверен Барнет. — Плохим парням важен масштаб, поскольку они оперируют ботнетами. Для ботоводов это большой плюс, им не нужно заботиться о маскировке. Ботнет позволяет проводить атаки вслепую, и, встречая сопротивление, злоумышленники просто меняют мишень».

Категории: DoS-атаки, Уязвимости