این بدافزار كاركر راه نفوذ مخفی داشته و به عنوان یك فایل JSP اجرا میگردد.
محققان امنیتی شركت Trend Micro یك بدافزار از نوع راه نفوذ مخفی (backdoor) را كشف كردهاند كه سرورهای HTTP مبتنی بر جاوا را آلوده كرده و به مهاجمان اجازه میدهد كه دستورات خرابكار را بر روی سیستمها اجرا نمایند.
به گزارش ایتنا از مرکز ماهر، این تهدید كه با عنوان BKDR_JAVAWAR.JG شناخته میشود، بهصورت یك صفحه جاوا سرور (JSP) است.
JSP یك نوع صفحه وب است كه میتواند فقط از طریق یك سرور وب خاص با یك Java servlet مانند Apache Tomcat به كار گرفته شود.
زمانی كه این صفحه مورد استفاده قرار میگیرد، مهاجم میتواند از راه دور به آن دسترسی پیدا كرده و با استفاده از یك كنسول وب، از توابع آن برای مرور كردن، بارگذاری، ویرایش، حذف، دانلود یا كپی كردن فایلها از سیستم آلوده، استفاده نماید.
این كار مشابه عملكرد راههای نفوذ مخفی مبتنی بر PHP است كه عمدتا با نام PHP Web shell شناخته میشوند.
به گفته محققان Trend Micro، علاوه بر دسترسی به اطلاعات حساس، یك مهاجم كنترل سیستم آلوده را از طریق راه نفوذ مخفی به دست آورده و میتواند دستورات خرابكار بیشتری را بر روی سرور آسیبپذیر اجرا نماید.
راه نفوذ مخفی JSP میتواند توسط سایر بدافزارهایی كه بر روی سیستم میزبان سرور HTTP مبتنی بر جاوا وجود دارند نصب گردد یا اینكه در هنگام مرور وبسایتهای خرابكار، دانلود شود.
بنا بر یادداشتهای فنی Trend Micro، این بدافزار سیستمهای ویندوز ۲۰۰۰، ویندوز سرور ۲۰۰۳، ویندوز XP، ویندوز ویستا و ویندوز ۷ را هدف قرار میدهد.
به گفته محققان Trend Micro، یك سناریوی محتمل دیگر برای حمله، زمانی است كه مهاجم وب سایتهای نیرو گرفته از Apache Tomcat را چك كرده و سعی میكند به Tomcat Web Application Manager دسترسی پیدا نماید.
با استفاده از یك ابزار شكستن كلمه عبور، مجرمان سایبری قادر هستند لاگین كرده و حقوق مدیریتی را برای به كار گیری فایلهای WAR به دست آورند.
برای محافظت از این سرورها در برابر این تهدید، مدیران سیستم باید از كلمات عبور قوی استفاده كنند كه به راحتی با استفاده از ابزارهای معمول شكسته نشود.
همچنین باید تمامی به روز رسانیهای امنیتی موجود را برای سیستمها و نرمافزارهای خود اعمال نمایند و از مشاهده وبسایتهای ناشناخنه و غیرقابل اعتماد خودداری كنند.