ESET je identificirao 21 zlonamjeran paket koji zamjenjuje OpenSSH

Darkcrizt

4 minuta

ESET Linux

ESET je nedavno objavio post (53 stranice u PDF-u) gdje prikazuje rezultate skeniranja nekih trojanskih paketa da su hakeri instalirani nakon ugrožavanja Linux hostova.

Ovo ckako biste ostavili zadnja vrata ili presreli korisničke lozinke dok se povezujete s drugim domaćinima.

Sve razmatrane inačice trojanskog softvera zamijenile su komponente procesa klijenta ili poslužitelja OpenSSH.

O otkrivenim paketima

u Identificirano je 18 opcija koje uključuju funkcije presretanja ulaznih lozinki i ključeva za šifriranje i 17 zadatih funkcija backdoor koji omogućavaju napadaču da potajno dobije pristup hakiranom hostu koristeći unaprijed definiranu lozinku.

Nadalje, lIstraživači su otkrili da je SSH backdoor koji koriste operateri DarkLeech isti kao onaj koji koristi Carbanak nekoliko godina kasnije i da su akteri prijetnji razvili širok spektar složenosti u backdoor implementacijama, od zlonamjernih programa dostupnih javnosti. Mrežni protokoli i uzorci.

Kako je to bilo moguće?

Zlonamjerne komponente su raspoređene nakon uspješnog napada na sistem; po pravilu, napadači su pristup dobivali odabirom tipičnih lozinki ili korištenjem neprimjenjenih ranjivosti u web aplikacijama ili upravljačkim programima servera, nakon čega su zastarjeli sustavi koristili napade da bi povećali svoje privilegije.

Istorija identifikacije ovih zlonamernih programa zaslužuje pažnju.

U procesu analize Windigo botneta, istraživači obratio pažnju na kod za zamjenu ssh s Ebury backdoor-om, koji je prije pokretanja provjerio instalaciju drugih backdoor-ova za OpenSSH.

Da bi identifikovali konkurentske Trojance, korištena je lista od 40 kontrolnih lista.

Koristeći ove funkcije, Predstavnici ESET-a otkrili su da mnogi od njih nisu pokrivali ranije poznata stražnja vrata a zatim su počeli tražiti nestale instance, uključujući postavljanje mreže ranjivih poslužitelja meda.

Kao rezultat, 21 verzija trojanskog paketa identificirana kao zamjena za SSH, koji ostaju relevantni posljednjih godina.

Linux_Security

Što ESET-ovo osoblje tvrdi po tom pitanju?

ESET-ovi istraživači priznali su da ove namaze nisu otkrili iz prve ruke. Ta čast pripada tvorcima drugog Linux malware-a zvanog Windigo (zvani Ebury).

ESET kaže da je tijekom analize Windigo botneta i njegove središnje Eburyove pozadine, otkrili su da je Ebury imao interni mehanizam koji je tražio druge lokalno instalirane OpenSSH pozadine.

ESID je rekao da je način na koji je Windigo tim to učinio bio upotrebom Perl skripte koja je skenirala 40 potpisa datoteka (heši).

"Kada smo ispitali ove potpise, brzo smo shvatili da nemamo uzorke koji se podudaraju s većinom zadnjih vrata opisanih u skripti", rekao je Marc-Etienne M. Léveillé, ESET-ov analitičar zlonamjernog softvera.

"Operateri malware-a zapravo su imali više znanja i vidljivosti SSH backdoor-a nego mi", dodao je.

Izvještaj ne ulazi u detalje o tome kako botnet operateri postavljaju ove verzije OpenSSH na zaraženim domaćinima.

Ali ako smo išta naučili iz prethodnih izvještaja o operacijama Linux malware-a, to je to Hakeri se često oslanjaju na iste stare tehnike kako bi stekli uporište na Linux sistemima:

Napadi grube sile ili rječnika koji pokušavaju pogoditi SSH lozinke. Korištenje jakih ili jedinstvenih lozinki ili IP sistema za filtriranje za SSH prijave trebalo bi spriječiti ove vrste napada.

Iskorištavanje ranjivosti u aplikacijama koje se izvode na Linux serveru (na primjer, web aplikacije, CMS itd.).

Ako je aplikacija / usluga pogrešno konfigurirana s root pristupom ili ako napadač iskoristi nedostatak eskalacije privilegija, uobičajena početna mana zastarjelih WordPress dodataka može se lako prenijeti na osnovni operativni sistem.

Ažuriranjem svega, i operativni sistem i aplikacije koje se na njemu izvode trebaju spriječiti ove vrste napada.

Se pripremili su skriptu i pravila za antivirus i dinamičku tablicu sa karakteristikama svake vrste SSH trojanaca.

Pogođene datoteke na Linuxu

Kao i dodatne datoteke kreirane u sistemu i lozinke za pristup kroz zadnja vrata, radi identifikacije zamijenjenih OpenSSH komponenti.

Na primjer, u nekim slučajevima datoteke poput onih koje se koriste za snimanje presretnutih lozinki:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etc / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Itd. / Gshadow–«,
  • "/Etc/X11/.pr"

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   nickd89 rekao je
    čini 5 godina

    zanimljiv članak
    pretražujte jednog po jednog u direktorijumima i pronađite jedan
    "/ Etc / gshadow–",
    šta će se dogoditi ako ga izbrišem

    Odgovori na nickd89
  2.   Jorge rekao je
    čini 5 godina

    Ta mi se datoteka "gshadow" također pojavljuje i traži root dozvole za njezinu analizu ...

    Odgovorite Jorgeu