EITest: entenda a campanha maliciosa que foi exposta

Segurança de dados é uma pauta que ganhou força recentemente após o vazamento e uso ilegal de dados dos usuários do Facebook no escândalo com a Cambridge Analytica. O público geral está começando a dar maior importância às permissões que são dadas em contratações de serviços que envolvem informações/dados.
Ainda não chegamos num ponto em que os usuários, antes de concordar, vão procurar ler e entender os termos de uso de uma rede social, um app ou outros serviços. Mas é momento de aproveitar que o assunto está em alta para denunciar e questionar ações digitais danosas.
Nesse ponto, a equipe da HostDime tem muito a contribuir. Para além dos processos padrões de segurança dentro do nosso data center, nossa equipe está sempre ativa para detectar assuntos que tem potencial decisivo na garantia da segurança de dados. O nosso Analista de Segurança, Igor Andrade, fez um artigo sobre as atividades da campanha EITest que foi descoberta recentemente, mas estima-se que coleta dados de forma maliciosa desde 2011.
Basicamente, essa atividade maliciosa explora vulnerabilidades em sites que utilizam CMS’s populares (WordPress, Joomla), que são esquecidos e acabam consequentemente desatualizados com o tempo. Por meio de Exploits Kits (Kits de exploração de vulnerabilidades) são inseridos trechos maliciosos no conteúdo do site, dessa forma os atacantes instalam botnets que alteram o conteúdo original para um conteúdo malicioso: quando você acessar o endereço infectado, possivelmente irá se deparar com um esquema de engenharia social ou qualquer outra atividade suspeita.
Se você quer entender como a EITest atuava, como foi diagnosticada e como pode ser removida, leia o artigo completo a seguir:

EITest Script Finder e Considerações sobre a rede maliciosa que foi pro ralo!

Iremos hoje falar sobre uma grande campanha/rede chamada EITest com intuitos maliciosos que esteve oculta durante um certo tempo. Hoje vivemos uma experiência, que resultou na remoção de arquivos que faziam parte desta rede de aproximadamente 52 mil máquinas zumbis. As atividades que existem desde 2011, e entrando em vários segmentos, como mineração de cryptomoedas através de arquivos js(Monero), esquemas de engenharia social, distribuição de tráfego, cliques/visualizações em sites para gerar popularidade/acessos e outros meios maliciosos.
Não se sabe o número certo de máquinas infectadas pela rede EITest, mas o número ultrapassa 50 mil máquinas zumbis, geralmente comprometida através de CMS’s desatualizados por meios de exploits, principalmente WordPress segundo estátisticas.
Em meados de 2014, começou a usar botnets para realizar as ações maliciosas da rede, a Network EITest costumava redirecionar usuários para hostings comprometidos(Geralmente WordPress) e a vítima interagia com o malware distribuído pela rede ou também com atividades fraudulentas como phishing scams/tech scams.
Existiram casos de venda de tráfego roubado de sites comprometidos por até 20 dolares por 1,000 usuários, variando de 50 até 70,000 visitas, gerando de $1,000 até $1,400 dolares por bloco de tráfego.
No mês passado, a atividade por trás dessa rede de máquinas infectadas/zumbis consistiu principalmente em engenharia social e tech scams.
A SpamHaus, tomou o controle da rede maliciosa recentemente em conjunto com a abuse.ch e devido a isso as máquinas infectadas passaram por listagens de blacklist(CBL/SPamHaus), que quando você realiza o lookup nas respectivas spamlists/blacklists, você irá se deparar com as seguintes informações do EITest (CBL):

Então os 52,000 servidores que estavam antes a disposição da rede EITest, estão agora listados na Spamhaus/CBL Blacklist, acabei me deparando com este problema hoje, e tive que colocar a mão na massa para encontrar a conta que estava comprometida e fazia parte da rede.
Basicamente consiste em identificar o pacote disparado, que basicamente envolve no IP ‘192.42.116.41’:

#!/bin/bash
#IgorAndrade Eitest Finder
#Version 1.1
#Run in a Screen for a better investigation
rm -rf /home/eitest.txt
while true
do
 #SpamHaus Honeypot, it will help us to find the account source
       hpot=$(echo 192.42.116.41)
 #it will get the info about the proccess, more details take a look on lsof manual
       lsof -Pni|grep $hpot
 #will enter on this if if the lsof command up is valid output matching with the ip of honeypot
 if [ $? -eq 0 ]
 then
 #it will get the pid proccess of attacker
 for saida in `lsof -Pni | grep $hpot | awk {'print $2'}`
 do 
 #it will give detailed where the file of attacker is and store it in a txt
 lsof -p $saida | egrep "cwd|DEL" | tee -a /home/eitest.txt
 done
 #just print at command line
 echo "The attacker was discovered take a look on: /home/eitest.txt"
 else
 #will keep investigate
 echo "Nothing Discovered yet..."
 fi
 sleep 1
done

É aconselhado executar em uma screen para melhor investigação, toda saída que é de suma importância, será armazenada em um arquivo chamado/localizado em /home/eitest.txt, o script ficará executando sempre dentro desta screen,até você cancelar (while/true):
Para identificação da conta comprometida, foi utilizado o comando lsof com os parâmetros -Pni, para identificar o pacote e usuário, inclusive o PID(muito importante):

php-cgi   11654   USUARIOAQUI  4u IPv4 1009835293      0t0 TCP xxx.xxx.1xx.2:42790->192.42.116.41:80 (SYN_SENT)
php-cgi   24714   USUARIOAQUI  4u IPv4 1010325826      0t0 TCP xxx.xxx.1xx.2:52696->192.42.116.41:80 (SYN_SENT)

No campo “UsuarioAqui” Iremos ter o usuário comprometido pelo eitest, com o PID, que é o segundo campo, iremos usar o comando lsof novamente no script com o parâmetro -p para encontrar a source e o arquivo que possui o conteúdo malicioso. Se olharmos o conteúdo malicioso do arquivo, veremos algo similar ao abaixo:

Agora é só desativar o arquivo, ou remover o conteúdo malicioso, geralmente o wordpress comprometido, vai utilizar uma versão obsoleta, neste caso de hoje, estava na versão 4.6.1 de nada mais nada menos que 2 anos atrás, meados de dezembro de 2016.
 
Fonte: consultalinux.org