ESET a identifié 21 packages malveillants qui remplacent OpenSSH

ESETLinux

ESET a récemment publié un message (53 pages PDF) où il montre les résultats d'une analyse de certains paquets de chevaux de Troie que des pirates ont été installés après avoir compromis des hôtes Linux.

Ce cpour laisser une porte dérobée ou intercepter les mots de passe des utilisateurs lors de la connexion à d'autres hôtes.

Toutes les variantes considérées du logiciel cheval de Troie ont remplacé les composants de processus client ou serveur OpenSSH.

À propos des paquets détectés

Les 18 options identifiées incluaient des fonctions d'interception des mots de passe d'entrée et des clés de cryptage et 17 fonctions de porte dérobée qui permettent à un attaquant d'accéder secrètement à un hôte piraté à l'aide d'un mot de passe prédéfini.

De plus, lLes chercheurs ont découvert qu'une porte dérobée SSH utilisée par les opérateurs DarkLeech est la même que celle utilisée par Carbanak quelques années plus tard et que les acteurs de la menace avaient développé un large spectre de complexité dans les implémentations de portes dérobées, à partir de programmes malveillants accessibles au public. Protocoles et échantillons réseau.

Comment cela a-t-il été possible?

Des composants malveillants ont été déployés après une attaque réussie sur le système; en règle générale, les attaquants ont obtenu l'accès via la sélection de mot de passe classique ou en exploitant des vulnérabilités non corrigées dans les applications Web ou les pilotes de serveur, après quoi les systèmes obsolètes ont utilisé des attaques pour augmenter leurs privilèges.

L'historique d'identification de ces programmes malveillants mérite une attention particulière.

Dans le processus d'analyse du botnet Windigo, les chercheurs fait attention au code pour remplacer ssh par la porte dérobée Ebury, qui, avant le lancement, a vérifié l'installation d'autres portes dérobées pour OpenSSH.

Pour identifier les chevaux de Troie concurrents, une liste de 40 checklists a été utilisée.

En utilisant ces fonctions, Les représentants d'ESET ont constaté que beaucoup d'entre eux ne couvraient pas les portes dérobées précédemment connues puis ils ont commencé à rechercher les instances manquantes, notamment en déployant un réseau de serveurs de pots de miel vulnérables.

En conséquence, 21 variantes de packages de chevaux de Troie identifiées comme remplaçant SSH, qui restent d'actualité ces dernières années.

Linux_Sécurité

Que soutiennent le personnel d'ESET à ce sujet?

Les chercheurs d'ESET ont admis qu'ils n'avaient pas découvert ces produits de première main. Cet honneur revient aux créateurs d'un autre malware Linux appelé Windigo (alias Ebury).

ESET dit que lors de l'analyse du botnet Windigo et de sa porte dérobée centrale Ebury, ils ont découvert qu'Ebury avait un mécanisme interne qui recherchait d'autres portes arrière OpenSSH installées localement.

Selon ESET, l'équipe Windigo a fait cela en utilisant un script Perl qui a analysé 40 signatures de fichiers (hachages).

«Lorsque nous avons examiné ces signatures, nous avons rapidement réalisé que nous ne disposions d'aucun échantillon correspondant à la plupart des portes dérobées décrites dans le script», a déclaré Marc-Etienne M. Léveillé, analyste de logiciels malveillants chez ESET.

«Les opérateurs de logiciels malveillants avaient en fait plus de connaissances et de visibilité des portes dérobées SSH que nous», a-t-il ajouté.

Le rapport n'entre pas dans les détails sur la manière dont les opérateurs de botnet implantent ces versions d'OpenSSH sur les hôtes infectés.

Mais si nous avons appris quelque chose des rapports précédents sur les opérations de malwares Linux, c'est que Les pirates informatiques s'appuient souvent sur les mêmes vieilles techniques pour prendre pied sur les systèmes Linux:

Attaques par force brute ou par dictionnaire qui tentent de deviner les mots de passe SSH. L'utilisation de mots de passe forts ou uniques ou d'un système de filtrage IP pour les connexions SSH devrait empêcher ces types d'attaques.

Exploitation des vulnérabilités dans les applications qui s'exécutent sur le serveur Linux (par exemple, applications Web, CMS, etc.).

Si l'application / le service a été mal configuré avec un accès root ou si l'attaquant exploite une faille d'escalade de privilèges, une faille initiale commune des plugins WordPress obsolètes peut facilement être escaladée vers le système d'exploitation sous-jacent.

Garder tout à jour, à la fois le système d'exploitation et les applications qui s'exécutent dessus, devrait empêcher ce type d'attaque.

Se ils ont préparé un script et des règles pour l'antivirus et un tableau dynamique avec les caractéristiques de chaque type de chevaux de Troie SSH.

Fichiers concernés sous Linux

Ainsi que des fichiers supplémentaires créés dans le système et des mots de passe pour l'accès par la porte dérobée, pour identifier les composants OpenSSH qui ont été remplacés.

Par exemple, dans certains cas, des fichiers tels que ceux utilisés pour enregistrer les mots de passe interceptés:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etc / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Etc / gshadow–«,
  • "/Etc/X11/.pr"

2 commentaires, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   nickd89 dit

    article intéressant
    rechercher un par un dans les répertoires et en trouver un
    "/ Etc / gshadow–",
    que se passera-t-il si je le supprime

  2.   Jorge dit

    Ce fichier "gshadow" m'apparaît également et demande les permissions root pour l'analyser ...