ESET identificerede 21 ondsindede pakker, der erstatter OpenSSH

Darkcrizt

4 minutter

ESET Linux

ESET lavede for nylig et indlæg (53 sider PDF) hvor det viser resultaterne af en scanning af nogle Trojan-pakker at hackere blev installeret efter kompromis med Linux-værter.

Dette cfor at efterlade en bagdør eller opfange brugeradgangskoder mens du opretter forbindelse til andre værter.

Alle betragtede varianter af Trojan-softwaren erstattede OpenSSH-klient- eller serverprocesskomponenter.

Om opdagede pakker

den 18 identificerede muligheder inkluderede funktioner til at opfange inputadgangskoder og krypteringsnøgler og 17 forudsatte bagdørfunktioner der giver en hacker mulighed for i hemmelighed at få adgang til en hacket vært ved hjælp af en foruddefineret adgangskode.

Desuden lForskere opdagede, at en SSH-bagdør, der blev brugt af DarkLeech-operatører, er den samme som den, der blev brugt af Carbanak et par år senere, og at trusselsaktører havde udviklet et bredt spektrum af kompleksitet i bagdørinstallationer, fra ondsindede programmer, der var tilgængelige for offentligheden. Netværksprotokoller og prøver.

Hvordan var dette muligt?

Ondsindede komponenter blev indsat efter et vellykket angreb på systemet; som regel fik angribere adgang gennem typisk adgangskodevalg eller ved at udnytte ikke-patchede sårbarheder i webapplikationer eller serverdrivere, hvorefter forældede systemer brugte angreb for at øge deres privilegier.

Identifikationshistorikken for disse ondsindede programmer fortjener opmærksomhed.

I processen med at analysere Windigo botnet, forskerne opmærksom på koden for at erstatte ssh med Ebury bagdør, som før lanceringen bekræftede installationen af ​​andre bagdøre til OpenSSH.

For at identificere konkurrerende trojanske heste, en liste med 40 tjeklister blev brugt.

Brug af disse funktioner, ESET-repræsentanter fandt ud af, at mange af dem ikke dækkede tidligere kendte bagdøre og så begyndte de at lede efter de manglende forekomster, herunder ved at installere et netværk af sårbare honningpotservere.

Som et resultat 21 Trojanske pakkevarianter identificeret som erstatning for SSH, som fortsat er relevante i de senere år.

Linux_Sikkerhed

Hvad argumenterer ESET-medarbejdere om sagen?

ESET-forskerne indrømmede, at de ikke opdagede disse spreads på første hånd. Denne ære går til skaberne af en anden Linux-malware kaldet Windigo (aka Ebury).

ESET siger, at mens man analyserer Windigo botnet og dets centrale Ebury bagdør, de fandt ud af, at Ebury havde en intern mekanisme, der søgte efter andre lokalt installerede OpenSSH bagdøre.

Den måde, Windigo-teamet gjorde dette på, sagde ESET, ved hjælp af et Perl-script, der scannede 40 filunderskrifter (hashes).

"Da vi undersøgte disse underskrifter, indså vi hurtigt, at vi ikke havde nogen prøver, der matchede de fleste bagdøre, der er beskrevet i manuskriptet," sagde Marc-Etienne M. Léveillé, ESET-malwareanalytiker.

"Malwareoperatørerne havde faktisk mere viden og synlighed af SSH-bagdøre, end vi gjorde," tilføjede han.

Rapporten går ikke i detaljer om, hvordan botnetoperatører planter disse OpenSSH-versioner på inficerede værter.

Men hvis vi har lært noget fra tidligere rapporter om Linux-malware-operationer, er det det Hackere stoler ofte på de samme gamle teknikker for at få fodfæste på Linux-systemer:

Brute force eller ordbogangreb, der forsøger at gætte SSH-adgangskoder. Brug af stærke eller unikke adgangskoder eller et IP-filtreringssystem til SSH-login skal forhindre disse typer angreb.

Udnyttelse af sårbarheder i applikationer, der kører på Linux-serveren (f.eks. Webapplikationer, CMS osv.).

Hvis applikationen / tjenesten er blevet forkert konfigureret med rodadgang, eller hvis angriberen udnytter en rettigheds eskaleringsfejl, kan en almindelig indledende fejl i forældede WordPress-plugins let eskaleres til det underliggende operativsystem.

At holde alt opdateret, både operativsystemet og de applikationer, der kører på det, bør forhindre denne type angreb.

Se de udarbejdede et script og regler for antivirus og en dynamisk tabel med karakteristika for hver type SSH-trojanske heste.

Berørte filer på Linux

Samt yderligere filer oprettet i systemet og adgangskoder til adgang gennem bagdøren for at identificere de OpenSSH-komponenter, der er blevet erstattet.

Fx i nogle tilfælde filer såsom dem, der bruges til at registrere aflyttede adgangskoder:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etc / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Etc / gshadow–«,
  • "/Etc/X11/.pr"

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for data: AB Internet Networks 2008 SL
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   nickd89 sagde han
    siden 5 år

    interessant artikel
    søg en efter en i mapper og fundet en
    "/ Etc / gshadow–",
    hvad vil der ske, hvis jeg sletter det

    Svar på nickd89
  2.   Jorge sagde han
    siden 5 år

    Denne "gshadow" -fil vises også for mig og beder om rodtilladelser til at analysere den ...

    Svar til Jorge