ESET tunnisti 21 haitallista pakettia, jotka korvaavat OpenSSH: n

Darkcrizt

4 minuuttia

ESET Linux

ESET julkaisi äskettäin viestin (53 sivun PDF) missä se näyttää joidenkin troijalaisten pakettien tarkistuksen tulokset hakkerit asennettiin Linux-isäntien vaarantamisen jälkeen.

Tämä ctakaoven jättämiseksi tai käyttäjän salasanojen sieppaamiseksi samalla kun muodostat yhteyden muihin isäntiin.

Troijalaisen ohjelmiston kaikki tarkastellut vaihtoehdot korvaavat OpenSSH-asiakas- tai palvelinprosessikomponentit.

Tietoja havaituista paketeista

Las 18 tunnistettua vaihtoehtoa sisälsivät toimintoja syötesalasanojen ja salausavainten sieppaamiseen ja 17 tarjottua takaoven toimintoa joiden avulla hyökkääjä voi salaa päästä hakkeroituun isäntään käyttämällä ennalta määritettyä salasanaa.

Lisäksi lTutkijat havaitsivat, että DarkLeech-operaattoreiden käyttämä SSH-takaovi on sama kuin Carbanakin muutama vuosi myöhemmin ja että uhka-toimijat olivat kehittäneet laajan kirjoa takaoven toteutuksissa yleisön saatavilla olevista haittaohjelmista. Verkkoprotokollat ​​ja näytteet.

Kuinka tämä oli mahdollista?

Haitalliset komponentit otettiin käyttöön onnistuneen hyökkäyksen jälkeen järjestelmään; hyökkääjät pääsivät pääsääntöisesti käyttämään tyypillistä salasanaa tai hyödyntämällä verkkosovellusten tai palvelinohjaimien korjaamattomia haavoittuvuuksia, minkä jälkeen vanhentuneet järjestelmät käyttivät hyökkäyksiä lisäsivät oikeuksiaan.

Huomio ansaitsee näiden haittaohjelmien tunnistushistorian.

Windigo-botnet-verkkoa analysoitaessa tutkijat kiinnitti huomiota koodiin, joka korvaa ssh: n Ebury-takaovella, joka ennen käynnistämistä vahvisti muiden OpenSSH: n takaovien asennuksen.

Kilpailevien troijalaisten tunnistamiseksi käytettiin luetteloa 40 tarkistuslistasta.

Näiden toimintojen avulla ESETin edustajat havaitsivat, että monet heistä eivät peittäneet aiemmin tunnettuja takaovia ja sitten he alkoivat etsiä puuttuvia esiintymiä, muun muassa ottamalla käyttöön haavoittuvien honeypot-palvelimien verkon.

Tämän seurauksena 21 Troijan pakettimuunnosta on tunnistettu korvaavan SSH, jotka ovat edelleen merkityksellisiä viime vuosina.

Linux_Turvallisuus

Mitä ESETin henkilökunta väittää asiasta?

ESET-tutkijat myönsivät, etteivät he löytäneet näitä leviämyksiä omakohtaisesti. Tämä kunnia kuuluu toisen Linux-haittaohjelman, Windigo (alias Ebury), luojille.

ESET sanoo, että analysoidessaan Windigo-botnetia ja sen keskeistä Ebury-takaovea, he havaitsivat, että Eburyllä oli sisäinen mekanismi, joka etsii muita paikallisesti asennettuja OpenSSH-takaovia.

Tapa, jolla Windigo-tiimi teki tämän, käytti ESET: ää käyttämällä Perlin komentosarjaa, joka skannasi 40 tiedostojen allekirjoitusta (hajautus).

"Tarkastellessamme näitä allekirjoituksia huomasimme nopeasti, että meillä ei ollut näytteitä, jotka vastaisivat suurinta osaa käsikirjoituksessa kuvatuista takaovista", kertoi ESET-haittaohjelmien analyytikko Marc-Etienne M. Léveillé.

"Haittaohjelmien operaattoreilla oli todellakin enemmän tietoa ja näkyvyyttä SSH-takaovista kuin meillä", hän lisäsi.

Raportissa ei käsitellä yksityiskohtia siitä, miten botnet-operaattorit istuttavat nämä OpenSSH-versiot tartunnan saaneilla isännillä.

Mutta jos olemme oppineet jotain aikaisemmista raporteista Linux-haittaohjelmien käytöstä, niin se on Hakkerit luottavat usein samoihin vanhoihin tekniikoihin saadakseen jalansijaa Linux-järjestelmissä:

Raakaa voimaa tai sanakirjahyökkäyksiä, jotka yrittävät arvata SSH-salasanoja. Vahvojen tai yksilöllisten salasanojen tai IP-suodatusjärjestelmän käyttäminen SSH-kirjautumisissa estää tällaiset hyökkäykset.

Linux-palvelimella toimivien sovellusten (esimerkiksi verkkosovellukset, CMS jne.) Haavoittuvuuksien hyödyntäminen.

Jos sovellus / palvelu on määritetty väärin juurihakemistolla tai jos hyökkääjä hyödyntää etuoikeuden eskalointivirhettä, vanhentuneiden WordPress-laajennusten yleinen alkuperäinen virhe voidaan helposti siirtää taustalla olevaan käyttöjärjestelmään.

Kaiken ajan tasalla pitämisen, sekä käyttöjärjestelmän että sitä käyttävien sovellusten, pitäisi estää tällainen hyökkäys.

Se he valmistelivat komentosarjan ja säännöt virustorjunnalle sekä dynaamisen taulukon, joka sisältää kunkin SSH-troijalaistyypin ominaisuudet.

Vaikuttavat tiedostot Linuxissa

Sekä järjestelmään luodut lisätiedostot ja salasanat takaoven kautta pääsemiseksi, korvaavien OpenSSH-komponenttien tunnistamiseksi.

Esimerkiksi joissakin tapauksissa tiedostot, joita käytetään esimerkiksi siepattujen salasanojen tallentamiseen:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etc / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Etc / gshadow–«,
  • "/Etc/X11/.pr"

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   nickd89 dijo
    sitten 5 vuotta

    mielenkiintoinen artikkeli
    etsiä yksitellen hakemistoista ja löytänyt yhden
    "/ Etc / gshadow–",
    mitä tapahtuu, jos poistan sen

    Vastaa nickd89
  2.   Jorge dijo
    sitten 5 vuotta

    Se "gshadow" -tiedosto näkyy myös minulle ja pyytää juurioikeuksia sen analysoimiseksi ...

    Vastaa Jorge