ESET identifico 21 paquets maliciosos que reemplacen a OpenSSH

ESET ha realitzat recentment una publicació (PDF de 53 pàgines) en on mostra els resultats d'una anàlisi d'alguns paquets de troians que van ser instal·lats hackers després de comprometre als hosts de Linux.

això con per tal de deixar una porta del darrere o interceptar les contrasenyes dels usuaris mentre es connecta a altres hosts.

Totes les variants considerades de programari troià reemplaçar els components de l'procés de servidor o el client OpenSSH.

Sobre els paquets detectats

Els 18 opcions identificades van incloure funcions per interceptar contrasenyes d'entrada i claus de xifrat i 17 van brindar funcions de porta del darrere que permeten a un atacant obtenir accés en secret a un host piratejat utilitzant una clau predefinida.

A més, lus investigadors van descobrir que una porta del darrere SSH utilitzada pels operadors de DarkLeech és la mateixa que la que va usar Carbanak uns anys més tard i que els actors d'amenaces havien desenvolupat un ampli espectre de complexitat en les implementacions de porta del darrere, a partir de programes maliciosos disponibles per al públic. Mostres i protocols de xarxa.

Com va ser possible això?

Els components malintencionats es van implementar després d'un atac reeixit en el sistema; com a regla, els atacants van obtenir accés a través de la selecció de contrasenyes típiques o mitjançant l'explotació de vulnerabilitats no pegats en aplicacions web o controladors de servidors, després de la qual cosa els sistemes no actualitzats van utilitzar atacs per augmentar els seus privilegis.

L'atenció mereix l'historial d'identificació d'aquests programes maliciosos.

En el procés d'anàlisi de la botnet Windigo, els investigadors prestar atenció a el codi per reemplaçar ssh amb la porta del darrere Ebury, que abans de l'llançament, va verificar la instal·lació d'altres portes posteriors per OpenSSH.

Per identificar els troians competidors, es va utilitzar una llista de 40 llistes de verificació.

Usant aquestes funcions, els representants d'ESET van descobrir que molts d'ells no cobrien les portes posteriors conegudes anteriorment i després van començar a buscar les instàncies que falten, fins i tot mitjançant la implementació d'una xarxa de servidors de honeypot vulnerables.

Com a resultat, es van identificar 21 variants de paquets de troians que reemplacen SSH, Que segueixen sent rellevants en els últims anys.

Què argumenten el personal d'ESET sobre l'assumpte?

Els investigadors d'ESET van admetre que no van descobrir aquestes propagacions de primera mà. Aquest honor va als creadors d'un altre malware de Linux anomenat Windigo (també conegut com Ebury).

ESET diu que mentre analitzaven la xarxa de bots Windigo i la seva porta del darrere central de Ebury, van trobar que Ebury tenia un mecanisme intern que buscava altres portes posteriors OpenSSH instal·lades localment.

La forma en què l'equip de Windigo va fer això, va dir ESET, va ser usant un script Perl que va escanejar 40 firmes d'arxius (hashes).

"Quan examinem aquestes firmes, ens vam adonar ràpidament que no teníem mostres que coincidissin amb la majoria de les portes posteriors descrites en el guió", va dir Marc-Etienne el Sr. Léveillé, analista de malware d'ESET.

"Els operadors de malware tenien en realitat més coneixement i visibilitat de les portes posteriors SSH que nosaltres", ha afegit.

L'informe no entra en detalls sobre com els operadors de botnets planten aquestes versions OpenSSH en hosts infectats.

Però si hem après alguna cosa dels informes anteriors sobre les operacions de malware de Linux és que els hackers solen confiar en les mateixes tècniques de sempre per afermar-se en els sistemes Linux:

Atacs de força bruta o de diccionari que intenten endevinar contrasenyes SSH. L'ús de contrasenyes fortes o úniques o un sistema de filtrat d'IP per als inicis de sessió SSH hauria prevenir aquest tipus d'atacs.

Explotació de vulnerabilitats en aplicacions que s'executen sobre el servidor Linux (per exemple, aplicacions web, CMS, etc.).

Si l'aplicació / servei ha estat mal configurada amb accés root o si l'atacant explota una fallada d'escalat de privilegis, una fallada inicial comú de connectors desactualitzats de WordPress pot ser fàcilment escalat a sistema operatiu subjacent.

Mantenint tot a el dia, tant el sistema operatiu com les aplicacions que s'executen sobre ell haurien d'evitar aquest tipus d'atacs.

Se van preparar un script i regles per als antivirus i una taula dinàmica amb característiques de cada tipus de troians SSH.

Arxius afectats en Linux

Així com arxius addicionals creats en el sistema i contrasenyes per a l'accés a través de la porta del darrere, per identificar els components OpenSSH que s'han reemplaçat.

Per exemple, en alguns casos, arxius com els utilitzats per registrar les contrasenyes interceptades:

• «/Usr/include/sn.h»,
• «/Usr/lib/mozilla/extensions/mozzlia.ini»,
• «/Usr/local/share/man/man1/Openssh.1»,
• «/ Etc / ssh / ssh_known_hosts2»,
• «/Usr/share/boot.sync»,
• «/Usr/lib/libpanel.so.a.3»,
• «/Usr/lib/libcurl.a.2.1»,
• «/ Var / log / utmp»,
• «/Usr/share/man/man5/ttyl.5.gz»,
• «/Usr/share/man/man0/.cache»,
• «/Var/tmp/.pipe.sock»,
• «/Etc/ssh/.sshd_auth»,
• «/Usr/include/X11/sessmgr/coredump.in»,
• «/ Etc / gshadow-«,
• «/Etc/X11/.pr»