Glutton : un nouveau malware sur PHP découvert en Chine

Par:
francoistonic

lun, 16/12/2024 - 09:33

Il y a un an les premières traces d'un malware sur PHP étaient détectées : Glutton. C'est réellement 1 an plus tard qu'il fait parler de lui. La découverte est l'oeuvre d'une équipe de sécurité chinoise, XLab. Glutton est un malware qui permet d'installer des protes dérobées, de voler des données ou encore d'injecter du code non autorisé... Son analyse montre qu'il possède une architecture modulaire lui donnant une certaine flexibilité dans les vecteurs d'attaque. Glutton est utilisé par le groupe de hackers, Winnti. Les codes injectés peuvent s'exécuter sur PHP ou PHP FPM. 

La fonctionnement de Glutton est assez complexe comme le monde le schéma produit par les équipes de XLab :

Glutton supporte 22 commandes pour créer, écrire des fichiers, exécution des commandes shell, scanner les dossiers, modifier les configurations, etc. Pour le moment, Glutton est surtout utilisé en Chine. 

Les solutions pour contrer Glutton sont vérifier les fichiers signés avec IOader_shell, retirer tous les processus suspects ou encore mieux sécuriser les dossiers temporaires. Il faudra attendre une analyse plus complète pour voir des contre-mesures globales.

Source : https://securityonline.info/the-zero-detection-php-backdoor-glutton-exposed/