Los investigadores observaron un nuevo web shell PHP denominado Ensiko con capacidades de ransomware que ataca a PHP instalado en plataformas como Linux, Windows, macOS y otras.
El malware es capaz de proporcionar acceso remoto y acepta comandos del atacante a través de un shell inverso de PHP.
Los investigadores de seguridad de Trend Micro observaron que el malware escanea los servidores infectados en busca de otras conchas web, desfigura los sitios web, envía correos electrónicos masivos, descarga archivos remotos, revela información sobre el servidor afectado, ataques de fuerza bruta contra el protocolo de transferencia de archivos (FTP), cPanel y Telnet, sobrescribiendo archivos con extensiones especificadas y más.
Web shell con capacidades de ransomware
El malware está protegido con contraseña, muestra una página no encontrada con un formulario de inicio de sesión oculto. Utiliza RIJNDAEL_128 con modo CBC para cifrar archivos en los directorios web y agrega la extensión «.bak».
También suelta un archivo index.php y lo establece como la página predeterminada usando un archivo .htaccess, el malware también carga herramientas adicionales en un sistema infectado.
Archivo de índice modificado
Las siguientes son las capacidades de Ensiko;
| Caracteristicas | Descripción |
| Índice Priv | Descargar ensikology.php de pastebin |
| Ransomeware | Cifrar archivos con RIJNDAEL 128 con modo CBC |
| CGI Telnet | Descargue CGI-telnet versión 1.3 de pastebin; CGI-Telnet es un script CGI que le permite ejecutar comandos en su servidor web. |
| Reverse Shell | Shell inverso de PHP |
| Mini Shell 2 | Suelte la carga útil de Mini Shell 2 web shell en ./tools_ensikology/ |
| IndoXploit | Suelte la carga útil de web Shell IndoXploit en ./tools_ensikology/ |
| Nube de sonido | Mostrar nube de sonido |
| Mapa DDOS en tiempo real | Mapa DDoS de Fortinet |
| Codificar descodificar | Codificar / decodificar el buffer de cadena |
| Modo seguro hijo de puta | Deshabilitar el modo seguro de PHP |
| Listado de Dir Prohibido | Desactivar índices de directorio |
| Mass Mailer | Bombardeo de correo |
| cPanel Crack | Fuerza bruta cPanel, ftp y telnet |
| Escaneo de puerta trasera | Verifique el servidor remoto para el web shell existente |
| Detalles de explotación | Mostrar información del sistema y versiones |
| Exploración remota del servidor | Verifique el servidor remoto para el web shell existente |
| Descargador remoto de archivos | Descargue el archivo del servidor remoto a través de CURL o wget |
| Codificación / decodificación hexadecimal | Codificación / decodificación hexadecimal |
| Escalador de acceso anónimo FTP | Buscar FTP anónimo |
| Desfiguración masiva | Desfiguración |
| Config Grabber | Agarre la configuración del sistema como «/ etc / passwd» |
| SymLink | enlace |
| Secuestro de galletas | Secuestro de sesión |
| Cubierta segura | SSH Shell |
| Sobrescribir en masa | Reescribe o agrega datos al tipo de archivo especificado. |
| Administrador de FTP | Administrador de FTP |
| Compruebe Steganologer | Detecta imágenes con encabezado EXIF |
| Administrador | Descargue la administración de la base de datos PHP Adminer en ./tools_ensikology/ |
| Información PHP | Información sobre la configuración de PHP |
| Byksw Traducir | Reemplazo de personaje |
| Suicidio | Eliminar automáticamente |
El actor de la amenaza también utiliza la técnica de esteganografía para ocultar el código dentro de los encabezados del formato de archivo de imagen intercambiable (EXIF) de un archivo de imagen.
El malware también incluye dos métodos de escaneo;
Backdoor Scan : analiza la existencia de un web shell desde una lista codificada.
Exploración remota del servidor : comprueba la presencia de otros web shells en el servidor web infectado.
También utiliza una función de sobrescritura masiva que solía reescribir / agregar el contenido de todos los archivos con directorios y subdirectorios.
Al inyectar un atacante de web shell Ensiko puede habilitar la administración remota, el cifrado de archivos y muchas más funciones en un servidor web comprometido.
IoC
SHA-256 Hash
5fdbf87b7f74327e9132b5edb5c217bdcf49fe275945d502ad675c1dd46e3db5
