Голландский web-разработчик Люк Парис (Luke Paris) создал руткит, который можно спрятать в PHP-модуле и использовать для взлома web-серверов по очень редкому вектору атаки – с помощью модулей Apache.
Как правило, руткит представляет собой код, работающий на самом нижнем уровне операционной системы, способный перехватывать операции ядра и производить вредоносные действия. Большинство современных руткитов работают возле ядра ОС и требуют от хакера наличия серьезных навыков, в частности, умение программировать на C и C++, чтобы не вывести из строя атакуемый компьютер. Однако созданный Парисом руткит взаимодействует не с ядром ОС, а с интерпретатором PHP, что намного упрощает его использование и не требует больших знаний.
«Научиться использовать Zend Engine (фреймворк, на котором построен язык PHP) намного легче, чем научиться писать модули ядра, поскольку сама по себе кодовая база меньше, лучше задокументирована и намного проще. Даже без хорошей документации и инструкций я выучил основы написания модулей PHP всего за один день. Если даже мне (новичку в работе с C) это удалось, то уж плохим парням и подавно», — сообщил Парис.
Разработчик опубликовал исходный код PoC-руткита на GitHub. Инструмент представляет собой 80 строк кода и легко умещается в легитимные модули. С целью обезопасить свою разработку от использования киберпреступниками Парис намеренно обезвредил некоторые его части, усложнив его компиляцию для тех, у кого нет опыта работы с модулями PHP.
Источник: securitylab.ru
