Beveiligingsonderzoeker Aneesh Dogra heeft recentelijk een minuscule achterdeur ontdekt. De grootte van de backdoor is slechts 249 bytes.
Hij trof de backdoor aan terwijl hij enkele kwetsbare servers onderzocht. Het md5sum van de backdoor is 93363683dcf1ccc4db296fa5fde69b71. Een md5sum is een algortime om een hash te berekenen; een dergelijke hash is meestal een unieke identifier voor bestanden of records.
Reverse enigneering
Websites zoals VirusTotal hadden nog geen melding gemaakt van deze backdoor, schrijft de beveiligingsonderzoeker op zijn blog. Door het binaire bestand om te keren, kreeg Dogra inzicht in hoe malware-ontwikkelaars technieken gebruiken om hun achterdeur onzichtbaar te maken. Ook leverde het hem informatie op hoe de makers het lastig maken om een backdoor te analyseren, om zo de precieze werking ervan te achterhalen (reverse engineering).
Handmatig
Het binaire bestand wordt uitgevoerd op 0x00400078. Het binaire bestand is echter dermate klein, wat erop duidt dat dit handmatig is geprogrammeerd. Dergelijke compiler-artefacten bestaan immers niet. De achterdeur van 249 byte kan elke shellcode uitvoeren. De aanvallers kunnen het toepassen op een offshore IP-adres en vervolgens willekeurige instructies op de aangevallen apparatuur laten uitvoeren.
Klik hier voor het blog van Aneesh Dogra over zijn ontdekking.