ESET tuvastas 21 pahatahtlikku paketti, mis asendavad OpenSSH-d

Darkcrizt

4 minutit

ESET Linux

ESET tegi hiljuti postituse (53 lk PDF) kus see näitab mõne Trooja paketi skannimise tulemusi et häkkerid installiti pärast Linuxi hostide ohustamist.

See ctagaukse jätmiseks või kasutaja paroolide pealtkuulamiseks teiste hostidega ühenduse loomisel.

Kõik Trooja tarkvara vaadeldavad variandid asendasid OpenSSH kliendi või serveri protsessi komponente.

Avastatud pakettide kohta

The 18 tuvastatud valikut hõlmasid sissepääsuparoolide ja krüptovõtmete pealtkuulamise funktsioone ning 17 pakutavaid tagauksefunktsioone mis võimaldavad ründajal eelmääratud parooli abil salaja juurde pääseda häkkinud hostile.

Lisaks lTeadlased avastasid, et DarkLeechi operaatorite kasutatav SSH-tagauks on sama, mida Carbanak mõned aastad hiljem ja see ohu osapool oli välja töötanud laiaulatusliku keerukuse tagaukse rakendustes, alates avalikkusele kättesaadavatest pahatahtlikest programmidest. Võrguprotokollid ja näidised.

Kuidas see võimalik oli?

Pahatahtlikud komponendid paigutati pärast süsteemi edukat rünnakut; reeglina said ründajad juurdepääsu tavapärase paroolivaliku abil või veebirakenduste või serveridraiverite parandamata haavatavuste ärakasutamise kaudu, pärast mida kasutasid vananenud süsteemid rünnakuid oma õiguste suurendamiseks.

Nende pahatahtlike programmide tuvastamise ajalugu väärib tähelepanu.

Windigo botnet'i analüüsimise käigus uurisid teadlased pööras tähelepanu koodile, mis asendaks ssh Ebury tagauksega, mis enne käivitamist kontrollis teiste OpenSSH-i tagauste paigaldamist.

Konkureerivate troojalaste tuvastamiseks kasutati 40 kontroll-loendit.

Neid funktsioone kasutades ESET-i esindajad leidsid, et paljud neist ei katnud varem teadaolevaid tagauksi ja siis hakkasid nad puuduvaid eksemplare otsima, sealhulgas haavatavate kärgpalliserverite võrgu juurutamisega.

Selle tulemusena 21 Trooja paketi varianti tuvastati SSH asendajana, mis on viimastel aastatel endiselt asjakohased.

Linux_turvalisus

Mida ESETi töötajad selles küsimuses vaidlevad?

ESETi teadlased tunnistasid, et ei avastanud neid levikuid omast käest. See au kuulub teise Linuxi pahavara nimega Windigo (teise nimega Ebury) loojatele.

ESET ütleb, et analüüsides Windigo botnetit ja selle keskmist Ebury tagaust, nad leidsid, et Ebury'l oli sisemine mehhanism, mis otsis teisi kohalikult paigaldatud OpenSSH tagauksi.

See, kuidas Windigo meeskond seda tegi, oli ESETi sõnul Perli skripti abil, mis skannis 40 failiallkirja (räsit).

"Neid allkirju uurides saime kiiresti aru, et meil pole ühtegi näidist, mis vastaks enamusele skriptis kirjeldatud tagaustest," ütles ESETi pahavara analüütik Marc-Etienne M. Léveillé.

"Pahavaraoperaatoritel oli SSH tagauste kohta tegelikult rohkem teadmisi ja nähtavust kui meil," lisas ta.

Aruandes ei käsitleta üksikasju selle kohta, kuidas botnetioperaatorid neid OpenSSH-i versioone istutavad nakatunud peremeestel.

Kuid kui oleme varasematest Linuxi pahavaraoperatsioonide aruannetest midagi õppinud, siis see on nii Häkkerid tuginevad Linuxi süsteemides tugipunktide saavutamiseks sageli samadele vanadele tehnikatele:

Jõhker jõud või sõnaraamaturünnakud, mis üritavad SSH-paroole ära arvata. Tugevate või ainulaadsete paroolide või IP-filtreerimissüsteemi kasutamine SSH-i sisselogimiseks peaks seda tüüpi rünnakuid vältima.

Linuxi serveris töötavate rakenduste (näiteks veebirakendused, CMS jne) haavatavuste kasutamine.

Kui rakendus / teenus on juurjuurdepääsuga valesti konfigureeritud või kui ründaja kasutab privileegi eskaleerimise viga, saab vananenud WordPressi pistikprogrammide levinud esialgse vea hõlpsasti üle viia operatsioonisüsteemi.

Kõike ajakohasena hoides peaksid nii operatsioonisüsteem kui ka sellel töötavad rakendused seda tüüpi rünnakuid vältima.

Se nad valmistasid ette viirusetõrje skripti ja reeglid ning pöördtabeli, mis sisaldab igat tüüpi SSH-troojalaste omadusi.

Mõjutatud failid Linuxis

Nagu ka tagaukse kaudu juurdepääsuks süsteemis loodud lisafailid ja paroolid, et tuvastada asendatud OpenSSH-i komponendid.

Nt mõnel juhul failid, näiteks need, mida kasutatakse pealtkuulatud paroolide salvestamiseks:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Jne / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Jne / gshadow–«,
  • "/Etc/X11/.pr"

Jäta oma kommentaar

Sinu e-postiaadressi ei avaldata. Kohustuslikud väljad on tähistatud *

*

*

  1. Andmete eest vastutav: AB Internet Networks 2008 SL
  2. Andmete eesmärk: Rämpsposti kontrollimine, kommentaaride haldamine.
  3. Seadustamine: teie nõusolek
  4. Andmete edastamine: andmeid ei edastata kolmandatele isikutele, välja arvatud juriidilise kohustuse alusel.
  5. Andmete salvestamine: andmebaas, mida haldab Occentus Networks (EL)
  6. Õigused: igal ajal saate oma teavet piirata, taastada ja kustutada.

  1.   hüüdnimi89 DIJO
    tagasi 5 aastat

    huvitav artikkel
    otsige ükshaaval kataloogidest ja leidsin ühe
    "/ Jne / gshadow–",
    mis juhtub, kui ma selle kustutan

    Vasta nickd89-le
  2.   Jorge DIJO
    tagasi 5 aastat

    See "gshadow" fail ilmub mulle ka ja küsib selle analüüsimiseks juurõigusi ...

    Vasta Jorge'ile