Разработчик web приложений из Недерландов по имени Люк Парис запрограммировал руткит, который прячется в модуле PHP интерпретатора и эксплуатируется для контроля над взломанными веб серверами по не сильно распространенному вектору — при помощи модулей web сервера.
Обычно руткитное программное обеспечение является кодом, который работает на ядерном уровне ОС. и который может заниматься перехватом ядерных функций и создавать различные действия, направленные на нанесение вреда. Огромное количество существующих руткитов работают около ядра операционной системы и киберпреступник должен обладать нужными навыками и опытом, например программировать на C/C++ чтобы не «убить» сервер. Но созданный руткит голландцем соединяется не с ядром операционной системы, а с PHP, что делает разработку руткита проще.
Как говорит сам Люк Парис, эксплуатировать Zend Engine (фреймворк PHP) гораздо легче, чем писать ядерные модули, так как база кодов меньше, лучше документация и проще. Даже без документации можно выучить базис модулей для интерпретатора PHP за одни сутки. Если даже Люку это удалось, который новичек в языке С, то киберпреступники тем более смогут.
Разработчик выложил исходники proof-of-concept в репозиторий GitHub. Утилита вмещает в себя восемьдесят строк кода и с легкостью внедряется в обычные модули. Для того, чтобы обезопаситься от script-kiddies, Люк Парис модифицировал часть модуля чтобы сделать невозможным его сборку для незнающих людей.
Голландский web-разработчик Люк Парис (Luke Paris) создал руткит, который можно спрятать в PHP-модуле и использовать для взлома web-серверов по очень редкому вектору атаки – с помощью модулей Apache.
Как правило, руткит представляет собой код, работающий на самом нижнем уровне операционной системы, способный перехватывать операции ядра и производить вредоносные действия. Большинство современных руткитов работают возле ядра ОС и требуют от хакера наличия серьезных навыков, в частности, умение программировать на C и C++, чтобы не вывести из строя атакуемый компьютер. Однако созданный Парисом руткит взаимодействует не с ядром ОС, а с интерпретатором PHP, что намного упрощает его использование и не требует больших знаний.
«Научиться использовать Zend Engine (фреймворк, на котором построен язык PHP) намного легче, чем научиться писать модули ядра, поскольку сама по себе кодовая база меньше, лучше задокументирована и намного проще. Даже без хорошей документации и инструкций я выучил основы написания модулей PHP всего за один день. Если даже мне (новичку в работе с C) это удалось, то уж плохим парням и подавно», — сообщил Парис.
Разработчикопубликовалисходный код PoC-руткита на GitHub. Инструмент представляет собой 80 строк кода и легко умещается в легитимные модули. С целью обезопасить свою разработку от использования киберпреступниками Парис намеренно обезвредил некоторые его части, усложнив его компиляцию для тех, у кого нет опыта работы с модулями PHP.