ESET hat 21 Schadpakete identifiziert, die OpenSSH ersetzen

ESET hat kürzlich einen Beitrag verfasst (53 Seiten PDF) Hier werden die Ergebnisse eines Scans einiger Trojaner-Pakete angezeigt dass Hacker installiert wurden, nachdem Linux-Hosts kompromittiert wurden.

Dies cum eine Hintertür zu verlassen oder Benutzerkennwörter abzufangen während der Verbindung zu anderen Hosts.

Alle betrachteten Varianten der Trojaner-Software ersetzten OpenSSH-Client- oder Server-Prozesskomponenten.

Über erkannte Pakete

Die 18 identifizierte Optionen umfassten Funktionen zum Abfangen von Eingabekennwörtern und Verschlüsselungsschlüsseln und 17 bereitgestellte Backdoor-Funktionen Dadurch kann ein Angreifer mithilfe eines vordefinierten Kennworts heimlich auf einen gehackten Host zugreifen.

Darüber hinaus lDie Forscher stellten fest, dass eine von DarkLeech-Betreibern verwendete SSH-Hintertür mit der von Carbanak verwendeten identisch ist Einige Jahre später hatten diese Bedrohungsakteure ein breites Spektrum an Komplexität bei Backdoor-Implementierungen entwickelt, und zwar aus bösartigen Programmen, die der Öffentlichkeit zur Verfügung standen. Netzwerkprotokolle und Beispiele.

Wie war das möglich?

Nach einem erfolgreichen Angriff auf das System wurden schädliche Komponenten bereitgestellt;; In der Regel erhielten Angreifer Zugriff durch typische Kennwortauswahl oder durch Ausnutzen nicht gepatchter Sicherheitslücken in Webanwendungen oder Servertreibern. Danach verwendeten veraltete Systeme Angriffe, um ihre Berechtigungen zu erhöhen.

Die Identifikationshistorie dieser Schadprogramme verdient Beachtung.

Bei der Analyse des Windigo-Botnetzes haben die Forscher achtete auf den Code, um ssh durch Ebury Backdoor zu ersetzen, Vor dem Start wurde die Installation anderer Backdoors für OpenSSH überprüft.

Um konkurrierende Trojaner zu identifizieren, Es wurde eine Liste mit 40 Checklisten verwendet.

Verwenden dieser Funktionen, ESET-Vertreter stellten fest, dass viele von ihnen bisher bekannte Hintertüren nicht abdeckten Anschließend suchten sie nach den fehlenden Instanzen, indem sie ein Netzwerk anfälliger Honeypot-Server bereitstellten.

Als Ergebnis 21 Trojaner-Paketvarianten, die SSH ersetzen, die in den letzten Jahren relevant bleiben.

Was argumentieren ESET-Mitarbeiter zu diesem Thema?

Die ESET-Forscher gaben zu, diese Spreads nicht aus erster Hand entdeckt zu haben. Diese Ehre gilt den Entwicklern einer anderen Linux-Malware namens Windigo (auch bekannt als Ebury).

ESET sagt, dass bei der Analyse des Windigo-Botnetzes und seiner zentralen Ebury-Hintertür Sie fanden heraus, dass Ebury über einen internen Mechanismus verfügte, der nach anderen lokal installierten OpenSSH-Hintertüren suchte.

Laut ESET hat das Windigo-Team ein Perl-Skript verwendet, mit dem 40 Dateisignaturen (Hashes) gescannt wurden.

"Als wir diese Signaturen untersuchten, stellten wir schnell fest, dass wir keine Beispiele hatten, die mit den meisten im Skript beschriebenen Hintertüren übereinstimmten", sagte Marc-Etienne M. Léveillé, ESET-Malware-Analyst.

"Die Malware-Betreiber hatten tatsächlich mehr Wissen und Sichtbarkeit über SSH-Backdoors als wir", fügte er hinzu.

Der Bericht geht nicht detailliert darauf ein, wie Botnetzbetreiber diese OpenSSH-Versionen einsetzen auf infizierten Hosts.

Aber wenn wir aus früheren Berichten über Linux-Malware-Vorgänge etwas gelernt haben, dann ist es das Hacker verlassen sich oft auf dieselben alten Techniken, um auf Linux-Systemen Fuß zu fassen:

Brute-Force- oder Wörterbuchangriffe, bei denen versucht wird, SSH-Passwörter zu erraten. Die Verwendung sicherer oder eindeutiger Kennwörter oder eines IP-Filtersystems für SSH-Anmeldungen sollte diese Art von Angriffen verhindern.

Ausnutzung von Sicherheitslücken in Anwendungen, die auf dem Linux-Server ausgeführt werden (z. B. Webanwendungen, CMS usw.).

Wenn die Anwendung / der Dienst mit Root-Zugriff falsch konfiguriert wurde oder wenn der Angreifer einen Fehler bei der Eskalation von Berechtigungen ausnutzt, kann ein häufiger anfänglicher Fehler veralteter WordPress-Plugins leicht auf das zugrunde liegende Betriebssystem übertragen werden.

Wenn Sie alles auf dem neuesten Stand halten, sollten sowohl das Betriebssystem als auch die darauf ausgeführten Anwendungen diese Art von Angriff verhindern.

Se Sie bereiteten ein Skript und Regeln für Antivirenprogramme sowie eine dynamische Tabelle mit den Merkmalen der einzelnen SSH-Trojaner vor.

Betroffene Dateien unter Linux

Sowie zusätzliche im System erstellte Dateien und Kennwörter für den Zugriff durch die Hintertür, um die OpenSSH-Komponenten zu identifizieren, die ersetzt wurden.

Zum Beispiel In einigen Fällen können Dateien wie die zum Aufzeichnen abgefangener Kennwörter verwendet werden:

• "/Usr/include/sn.h",
• "/Usr/lib/mozilla/extensions/mozzlia.ini",
• "/Usr/local/share/man/man1/Openssh.1",
• "/ Etc / ssh / ssh_known_hosts2",
• "/Usr/share/boot.sync",
• "/Usr/lib/libpanel.so.a.3",
• "/Usr/lib/libcurl.a.2.1",
• "/ Var / log / utmp",
• "/Usr/share/man/man5/ttyl.5.gz",
• "/Usr/share/man/man0/.cache",
• "/Var/tmp/.pipe.sock",
• "/Etc/ssh/.sshd_auth",
• "/Usr/include/X11/sessmgr/coredump.in",
• «/ Etc / gshadow–«,
• "/Etc/X11/.pr"