ESET идентифицира 21 злонамерени пакета, които заместват OpenSSH

ESET наскоро публикува публикация (53 стр. PDF) където показва резултатите от сканирането на някои троянски пакети че хакерите са инсталирани след компрометиране на Linux хостове.

Това cза да оставите задна врата или да прихванете потребителски пароли докато се свързвате с други хостове.

Всички разглеждани варианти на троянския софтуер замениха OpenSSH клиентски или сървърни компоненти на процеса.

Относно откритите пакети

на 18 идентифицирани опции включват включени функции за прихващане на пароли за въвеждане и ключове за криптиране и 17 предоставени функции на задната врата които позволяват на нападателя тайно да получи достъп до хакнат хост, използвайки предварително дефинирана парола.

Освен това, лИзследователите откриха, че SSH backdoor, използван от операторите на DarkLeech, е същият като този, използван от Carbanak няколко години по-късно и че участниците в заплахата са разработили широк спектър от сложни изпълнения на задни врати, от злонамерени програми, достъпни за обществеността. Мрежови протоколи и проби.

Как беше възможно това?

Злонамерените компоненти бяха внедрени след успешна атака на системата; като правило нападателите са получили достъп чрез типичен избор на парола или чрез използване на неизправени уязвимости в уеб приложения или драйвери на сървъри, след което остарелите системи използват атаки, за да увеличат своите привилегии.

Историята на идентификацията на тези зловредни програми заслужава внимание.

В процеса на анализ на ботнета Windigo изследователите обърна внимание на кода за замяна на ssh с Ebury backdoor, който преди стартирането провери инсталирането на други задни врати за OpenSSH.

За да идентифицирате конкурентни троянци, беше използван списък с 40 контролни списъка.

Използвайки тези функции, Представителите на ESET установиха, че много от тях не покриват известни досега задни врати и след това започнаха да търсят липсващите екземпляри, включително чрез разполагане на мрежа от уязвими сървъри на honeypot.

В резултат на това 21 варианта на троянски пакет, идентифицирани като заместващи SSH, които остават актуални през последните години.

Какво твърдят служителите на ESET по въпроса?

Изследователите на ESET признаха, че не са открили тези спредове от първа ръка. Тази чест е за създателите на друг зловреден софтуер на Linux, наречен Windigo (известен още като Ebury).

ESET казва, че докато анализира ботнета Windigo и централната задна врата на Ebury, те откриха, че Ebury има вътрешен механизъм, който търси други локално инсталирани OpenSSH задни врати.

Начинът, по който екипът на Windigo направи това, каза ESET, беше чрез използване на Perl скрипт, който сканира 40 файлови подписа (хешове).

„Когато разгледахме тези подписи, бързо разбрахме, че нямаме проби, които да съответстват на повечето от задните врати, описани в скрипта“, каза Марк-Етиен М. Левеле, анализатор на зловредния софтуер на ESET.

„Операторите на зловреден софтуер всъщност са имали повече знания и видимост на SSH задните врати, отколкото ние“, добави той.

Докладът не навлиза в подробности за това как ботнет операторите инсталират тези версии на OpenSSH на заразени хостове.

Но ако сме научили нещо от предишни доклади за операциите на злонамерен софтуер на Linux, това е това Хакерите често разчитат на същите стари техники, за да се утвърдят в Linux системите:

Груба сила или речникови атаки, които се опитват да познаят SSH пароли. Използването на силни или уникални пароли или IP система за филтриране за SSH влизания трябва да предотврати този тип атаки.

Експлоатация на уязвимости в приложения, работещи на Linux сървъра (например уеб приложения, CMS и др.).

Ако приложението / услугата са неправилно конфигурирани с корен достъп или ако атакуващият използва недостатък на ескалация на привилегии, общ първоначален недостатък на остарелите приставки на WordPress може лесно да бъде ескалиран до основната операционна система.

Като поддържат всичко актуално, както операционната система, така и приложенията, които работят на нея, трябва да предотвратяват този тип атаки.

Se те подготвиха скрипт и правила за антивирусна програма и динамична таблица с характеристики на всеки тип SSH троянци.

Засегнати файлове на Linux

Както и допълнителни файлове, създадени в системата и пароли за достъп през задната врата, за идентифициране на заменените компоненти на OpenSSH.

Например в някои случаи файлове като тези, използвани за запис на прихванати пароли:

• "/Usr/include/sn.h",
• "/Usr/lib/mozilla/extensions/mozzlia.ini",
• "/Usr/local/share/man/man1/Openssh.1",
• "/ Etc / ssh / ssh_known_hosts2",
• "/Usr/share/boot.sync",
• "/Usr/lib/libpanel.so.a.3",
• "/Usr/lib/libcurl.a.2.1",
• "/ Var / log / utmp",
• "/Usr/share/man/man5/ttyl.5.gz",
• "/Usr/share/man/man0/.cache",
• "/Var/tmp/.pipe.sock",
• "/Etc/ssh/.sshd_auth",
• "/Usr/include/X11/sessmgr/coredump.in",
• «/ И т.н. / gshadow–«,
• "/Etc/X11/.pr"