Los investigadores observaron un nuevo web shell PHP denominado Ensiko con capacidades de ransomware que ataca a PHP instalado en plataformas como Linux, Windows, macOS y otras.

El malware es capaz de proporcionar acceso remoto y acepta comandos del atacante a través de un shell inverso de PHP.

Los investigadores de seguridad de Trend Micro observaron que el malware escanea los servidores infectados en busca de otras conchas web, desfigura los sitios web, envía correos electrónicos masivos, descarga archivos remotos, revela información sobre el servidor afectado, ataques de fuerza bruta contra el protocolo de transferencia de archivos (FTP), cPanel y Telnet, sobrescribiendo archivos con extensiones especificadas y más.

Web shell con capacidades de ransomware

El malware está protegido con contraseña, muestra una página no encontrada con un formulario de inicio de sesión oculto. Utiliza RIJNDAEL_128 con modo CBC para cifrar archivos en los directorios web y agrega la extensión “.bak”.

Inicio de sesión oculto

También suelta un archivo index.php y lo establece como la página predeterminada usando un archivo .htaccess, el malware también carga herramientas adicionales en un sistema infectado.

Archivo de índice modificado

Archivo de índice modificado

Las siguientes son las capacidades de Ensiko;

CaracteristicasDescripción
Índice PrivDescargar ensikology.php de pastebin
RansomewareCifrar archivos con RIJNDAEL 128 con modo CBC
CGI TelnetDescargue CGI-telnet versión 1.3 de pastebin; CGI-Telnet es un script CGI que le permite ejecutar comandos en su servidor web.
Reverse ShellShell inverso de PHP
Mini Shell 2Suelte la carga útil de Mini Shell 2 web shell en ./tools_ensikology/
IndoXploitSuelte la carga útil de web Shell IndoXploit en ./tools_ensikology/
Nube de sonidoMostrar nube de sonido
Mapa DDOS en tiempo realMapa DDoS de Fortinet
Codificar descodificarCodificar / decodificar el buffer de cadena
Modo seguro hijo de putaDeshabilitar el modo seguro de PHP
Listado de Dir ProhibidoDesactivar índices de directorio
Mass MailerBombardeo de correo
cPanel CrackFuerza bruta cPanel, ftp y telnet
Escaneo de puerta traseraVerifique el servidor remoto para el web shell existente
Detalles de explotaciónMostrar información del sistema y versiones
Exploración remota del servidorVerifique el servidor remoto para el web shell existente
Descargador remoto de archivosDescargue el archivo del servidor remoto a través de CURL o wget
Codificación / decodificación hexadecimalCodificación / decodificación hexadecimal
Escalador de acceso anónimo FTPBuscar FTP anónimo
Desfiguración masivaDesfiguración
Config GrabberAgarre la configuración del sistema como “/ etc / passwd”
SymLinkenlace
Secuestro de galletasSecuestro de sesión
Cubierta seguraSSH Shell
Sobrescribir en masaReescribe o agrega datos al tipo de archivo especificado.
Administrador de FTPAdministrador de FTP
Compruebe SteganologerDetecta imágenes con encabezado EXIF
AdministradorDescargue la administración de la base de datos PHP Adminer en ./tools_ensikology/
Información PHPInformación sobre la configuración de PHP
Byksw TraducirReemplazo de personaje
SuicidioEliminar automáticamente

El actor de la amenaza también utiliza la técnica de esteganografía para ocultar el código dentro de los encabezados del formato de archivo de imagen intercambiable (EXIF) de un archivo de imagen.

Interfaz de shell

El malware también incluye dos métodos de escaneo;

Backdoor Scan : analiza la existencia de un web shell desde una lista codificada.

Exploración remota del servidor : comprueba la presencia de otros web shells en el servidor web infectado.

También utiliza una función de sobrescritura masiva que solía reescribir / agregar el contenido de todos los archivos con directorios y subdirectorios.

Al inyectar un atacante de web shell Ensiko puede habilitar la administración remota, el cifrado de archivos y muchas más funciones en un servidor web comprometido.

IoC

SHA-256 Hash

5fdbf87b7f74327e9132b5edb5c217bdcf49fe275945d502ad675c1dd46e3db5

Fuente y redacción: gbhackers.com

Compartir