ESET ha realizado recientemente una publicación (PDF de 53 páginas) en donde muestra los resultados de un análisis de algunos paquetes de troyanos que fueron instalados hackers después de comprometer a los hosts de Linux.
Esto con el fin de dejar una puerta trasera o interceptar las contraseñas de los usuarios mientras se conecta a otros hosts.
Todas las variantes consideradas del software troyano reemplazaron los componentes del proceso del servidor o el cliente OpenSSH.
Sobre los paquetes detectados
Las 18 opciones identificadas incluyeron funciones para interceptar contraseñas de entrada y claves de cifrado y 17 brindaron funciones de puerta trasera que permiten a un atacante obtener acceso en secreto a un host pirateado utilizando una contraseña predefinida.
Además, los investigadores descubrieron que una puerta trasera SSH utilizada por los operadores de DarkLeech es la misma que la que usó Carbanak unos años más tarde y que los actores de amenazas habían desarrollado un amplio espectro de complejidad en las implementaciones de puerta trasera, a partir de programas maliciosos disponibles para el público. Muestras y protocolos de red.
¿Cómo fue posible esto?
Los componentes malintencionados se implementaron después de un ataque exitoso en el sistema; como regla, los atacantes obtuvieron acceso a través de la selección de contraseñas típicas o mediante la explotación de vulnerabilidades no parcheadas en aplicaciones web o controladores de servidores, después de lo cual los sistemas no actualizados utilizaron ataques para aumentar sus privilegios.
La atención merece el historial de identificación de estos programas maliciosos.
En el proceso de análisis de la botnet Windigo, los investigadores prestaron atención al código para reemplazar ssh con la puerta trasera Ebury, que antes del lanzamiento, verificó la instalación de otras puertas traseras para OpenSSH.
Para identificar a los troyanos competidores, se utilizó una lista de 40 listas de verificación.
Usando estas funciones, los representantes de ESET descubrieron que muchos de ellos no cubrían las puertas traseras conocidas anteriormente y luego comenzaron a buscar las instancias faltantes, incluso mediante la implementación de una red de servidores de honeypot vulnerables.
Como resultado, se identificaron 21 variantes de paquetes de troyanos que reemplazan a SSH, que siguen siendo relevantes en los últimos años.
¿Qué argumentan el personal de ESET sobre el asunto?
Los investigadores de ESET admitieron que no descubrieron estas propagaciones de primera mano. Ese honor va a los creadores de otro malware de Linux llamado Windigo (también conocido como Ebury).
ESET dice que mientras analizaban la red de bots Windigo y su puerta trasera central de Ebury, encontraron que Ebury tenía un mecanismo interno que buscaba otras puertas traseras OpenSSH instaladas localmente.
La forma en que el equipo de Windigo hizo esto, dijo ESET, fue usando un script Perl que escaneó 40 firmas de archivos (hashes) .
“Cuando examinamos estas firmas, nos dimos cuenta rápidamente de que no teníamos muestras que coincidieran con la mayoría de las puertas traseras descritas en el guión”, dijo Marc-Etienne M. Léveillé, analista de malware de ESET.
“Los operadores de malware tenían en realidad más conocimiento y visibilidad de las puertas traseras SSH que nosotros”, añadió.
El informe no entra en detalles sobre cómo los operadores de botnets plantan estas versiones OpenSSH en hosts infectados.
Pero si hemos aprendido algo de los informes anteriores sobre las operaciones de malware de Linux es que los hackers suelen confiar en las mismas técnicas de siempre para afianzarse en los sistemas Linux:
Ataques de fuerza bruta o de diccionario que intentan adivinar contraseñas SSH. El uso de contraseñas fuertes o únicas o un sistema de filtrado de IP para los inicios de sesión SSH debería prevenir este tipo de ataques.
Explotación de vulnerabilidades en aplicaciones que se ejecutan sobre el servidor Linux (por ejemplo, aplicaciones web, CMS, etc.).
Si la aplicación/servicio ha sido mal configurada con acceso root o si el atacante explota un fallo de escalado de privilegios, un fallo inicial comun de plugins desactualizados de WordPress puede ser fácilmente escalado al sistema operativo subyacente.
Manteniendo todo al día, tanto el sistema operativo como las aplicaciones que se ejecutan sobre él deberían evitar este tipo de ataques.
Se prepararon una secuencia de comandos y reglas para los antivirus y una tabla dinámica con características de cada tipo de troyanos SSH.
Archivos afectados en Linux
Así como archivos adicionales creados en el sistema y contraseñas para el acceso a través de la puerta trasera, para identificar los componentes OpenSSH que se han reemplazado.
Por ejemplo, en algunos casos, archivos como los utilizados para registrar las contraseñas interceptadas:
- «/usr/include/sn.h»,
- «/usr/lib/mozilla/extensions/mozzlia.ini»,
- «/usr/local/share/man/man1/Openssh.1»,
- «/ etc / ssh / ssh_known_hosts2»,
- «/usr/share/boot.sync»,
- «/usr/lib/libpanel.so.a.3»,
- «/usr/lib/libcurl.a.2.1»,
- «/ var / log / utmp»,
- «/usr/share/man/man5/ttyl.5.gz»,
- «/usr/share/man/man0/.cache»,
- «/var/tmp/.pipe.sock»,
- «/etc/ssh/.sshd_auth»,
- «/usr/include/X11/sessmgr/coredump.in»,
- «/ etc / gshadow–«,
- «/etc/X11/.pr»
interesante articulo
busque uno por uno en los directorios y encontre uno
“/ etc / gshadow–“,
que pasara si lo borro
A mí también me aparece ese archivo «gshadow» y pide permisos de root para analizarlo…