حددت ESET 21 حزمة ضارة تحل محل OpenSSH

Darkcrizt

4 دقيقة

إسيت لينكس

قامت ESET مؤخرًا بنشر منشور (ملف PDF 53 صفحة) حيث يظهر نتائج فحص بعض حزم طروادة أنه تم تثبيت المتسللين بعد اختراق مضيفي Linux.

هذا جمن أجل ترك باب خلفي أو اعتراض كلمات مرور المستخدم أثناء الاتصال بالمضيفين الآخرين.

استبدلت جميع المتغيرات المدروسة من برنامج Trojan مكونات عملية خادم OpenSSH أو عميل OpenSSH.

حول الحزم المكتشفة

ال تم تحديد 18 خيارًا تضمنت وظائف لاعتراض كلمات مرور الإدخال ومفاتيح التشفير و 17 وظيفة خلفية مقدمة التي تسمح للمهاجم بالوصول سرًا إلى مضيف تم الاستيلاء عليه باستخدام كلمة مرور محددة مسبقًا.

علاوة على ذلك ، لاكتشف الباحثون أن الباب الخلفي SSH الذي يستخدمه مشغلو DarkLeech هو نفسه الذي يستخدمه Carbanak بعد بضع سنوات ، طور ممثلو التهديد هذا طيفًا واسعًا من التعقيد في تطبيقات الباب الخلفي ، من البرامج الضارة المتاحة للجمهور. بروتوكولات الشبكة وعيناتها.

كيف كان هذا ممكنا؟

تم نشر المكونات الخبيثة بعد هجوم ناجح على النظام؛ كقاعدة عامة ، حصل المهاجمون على إمكانية الوصول من خلال اختيار كلمة مرور نموذجية أو من خلال استغلال نقاط الضعف غير المصححة في تطبيقات الويب أو برامج تشغيل الخادم ، وبعد ذلك استخدمت الأنظمة القديمة الهجمات لزيادة امتيازاتها.

تاريخ تحديد هذه البرامج الخبيثة يستحق الاهتمام.

في عملية تحليل الروبوتات Windigo ، الباحثون الانتباه إلى الكود لاستبدال ssh بـ Ebury backdoor ، والتي قبل الإطلاق ، تحققت من تثبيت أبواب خلفية أخرى لـ OpenSSH.

لتحديد أحصنة طروادة المتنافسة ، تم استخدام قائمة من 40 قائمة مرجعية.

باستخدام هذه الوظائف ، وجد ممثلو ESET أن العديد منهم لم يغطوا الأبواب الخلفية المعروفة سابقًا ومن ثم بدأوا في البحث عن المثيلات المفقودة ، بما في ذلك عن طريق نشر شبكة من خوادم مصيدة نقاط الضعف.

نتيجة لذلك ، تم تحديد 21 متغيرًا لحزمة طروادة على أنها تحل محل SSH، والتي لا تزال ذات صلة في السنوات الأخيرة.

الأمن Linux

ماذا يجادل موظفو ESET في هذا الشأن؟

اعترف باحثو ESET أنهم لم يكتشفوا هذه الفروق مباشرة. يذهب هذا الشرف إلى منشئي برامج لينكس ضارة أخرى تسمى Windigo (ويعرف أيضًا باسم Ebury).

تقول ESET أنه أثناء تحليل الروبوتات Windigo والباب الخلفي المركزي لإيبري ، وجدوا أن Ebury لديها آلية داخلية تبحث عن أبواب خلفية OpenSSH مثبتة محليًا.

قالت ESET إن الطريقة التي فعل بها فريق Windigo ذلك كانت باستخدام برنامج نصي لـ Perl قام بمسح 40 توقيعًا للملف (تجزئات).

قال Marc-Etienne M. Léveillé ، محلل البرامج الضارة في ESET: "عندما فحصنا هذه التواقيع ، أدركنا سريعًا أنه ليس لدينا عينات تطابق معظم الأبواب الخلفية الموضحة في النص".

وأضاف: "كان مشغلو البرمجيات الخبيثة في الواقع لديهم معرفة ووضوح أكبر في الأبواب الخلفية لـ SSH أكثر مما كنا نعرفه".

لا يتطرق التقرير إلى تفاصيل حول كيفية قيام مشغلي الروبوتات بزرع إصدارات OpenSSH هذه على المضيفين المصابين.

ولكن إذا تعلمنا أي شيء من التقارير السابقة حول عمليات البرامج الضارة لنظام Linux ، فهو كذلك غالبًا ما يعتمد المتسللون على نفس الأساليب القديمة لكسب موطئ قدم في أنظمة Linux:

هجمات القوة الغاشمة أو القاموس التي تحاول تخمين كلمات مرور SSH. يجب أن يؤدي استخدام كلمات مرور قوية أو فريدة أو نظام تصفية IP لعمليات تسجيل الدخول عبر SSH إلى منع هذه الأنواع من الهجمات.

استغلال الثغرات الأمنية في التطبيقات التي تعمل على خادم Linux (على سبيل المثال ، تطبيقات الويب ، CMS ، إلخ).

إذا تم تكوين التطبيق / الخدمة بشكل خاطئ من خلال الوصول إلى الجذر أو إذا استغل المهاجم عيبًا في تصعيد الامتياز ، فيمكن بسهولة تصعيد عيب أولي شائع في مكونات WordPress الإضافية القديمة إلى نظام التشغيل الأساسي.

من خلال تحديث كل شيء ، يجب أن يمنع كل من نظام التشغيل والتطبيقات التي تعمل عليه هذه الأنواع من الهجمات.

Se قاموا بإعداد برنامج نصي وقواعد لمكافحة الفيروسات وجدول ديناميكي بخصائص كل نوع من أحصنة طروادة SSH.

الملفات المتأثرة على Linux

بالإضافة إلى الملفات الإضافية التي تم إنشاؤها في النظام وكلمات المرور للوصول إليها عبر الباب الخلفي ، للتعرف على مكونات OpenSSH التي تم استبدالها.

على سبيل المثال في بعض الحالات ، ملفات مثل تلك المستخدمة لتسجيل كلمات المرور التي تم اعتراضها:

  • "/Usr/include/sn.h" ،
  • "/Usr/lib/mozilla/extensions/mozzlia.ini" ،
  • "/Usr/local/share/man/man1/Openssh.1" ،
  • "/ Etc / ssh / ssh_known_hosts2" ،
  • "/Usr/share/boot.sync" ،
  • "/Usr/lib/libpanel.so.a.3" ،
  • "/Usr/lib/libcurl.a.2.1" ،
  • "/ Var / log / utmp" ،
  • "/Usr/share/man/man5/ttyl.5.gz" ،
  • "/Usr/share/man/man0/.cache" ،
  • "/Var/tmp/.pipe.sock" ،
  • "/Etc/ssh/.sshd_auth" ،
  • "/Usr/include/X11/sessmgr/coredump.in" ،
  • «/ إلخ / gshadow–« ،
  • "/Etc/X11/.pr"

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: AB Internet Networks 2008 SL
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   نيكد 89 قال
    منذ سنوات 5

    مقال مثير للاهتمام
    البحث واحدا تلو الآخر في الدلائل والعثور على واحد
    "/ Etc / gshadow-" ،
    ماذا سيحدث إذا قمت بحذفه

    الرد على nickd89
  2.   خورخي قال
    منذ سنوات 5

    يظهر هذا الملف "gshadow" لي أيضًا ويطلب أذونات الجذر لتحليله ...

    الرد على Jorge