ESET je identificirao 21 zlonamjerni paket koji zamjenjuje OpenSSH

Darkcrizt

4 minuta

ESET Linux

ESET je nedavno objavio post (53 stranice PDF) gdje prikazuje rezultate skeniranja nekih trojanskih paketa da su hakeri instalirani nakon ugrožavanja Linux domaćina.

Ovaj ckako biste ostavili stražnja vrata ili presreli korisničke lozinke dok se povezujete s drugim domaćinima.

Sve razmatrane inačice trojanskog softvera zamijenile su komponente procesa klijenta ili poslužitelja OpenSSH.

O otkrivenim paketima

Las Identificirano je 18 opcija koje uključuju presretanje ulaznih lozinki i ključeva za šifriranje i 17 zadanih funkcija u pozadini koji napadaču omogućuju tajni pristup hakiranom hostu pomoću unaprijed definirane lozinke.

Nadalje, lIstraživači su otkrili da je SSH backdoor koji koriste operateri DarkLeech isti kao onaj koji koristi Carbanak nekoliko godina kasnije i da su akteri prijetnji razvili širok spektar složenosti u backdoor izvedbama, od zlonamjernih programa dostupnih javnosti. Mrežni protokoli i uzorci.

Kako je to bilo moguće?

Zlonamjerne su komponente raspoređene nakon uspješnog napada na sustav; u pravilu su napadači pristup dobivali odabirom tipičnih lozinki ili iskorištavanjem neprimjenjenih ranjivosti u web aplikacijama ili upravljačkim programima poslužitelja, nakon čega su zastarjeli sustavi koristili napade za povećanje svojih privilegija.

Povijest identifikacije ovih zlonamjernih programa zaslužuje pozornost.

U procesu analize Windigo botneta, istraživači obratio pažnju na kod za zamjenu ssh s Ebury backdoorom, koji je prije pokretanja provjerio instalaciju drugih backdoor-ova za OpenSSH.

Da bismo identificirali konkurentske Trojance, korišten je popis od 40 kontrolnih popisa.

Koristeći ove funkcije, Predstavnici ESET-a otkrili su da mnogi od njih nisu pokrivali ranije poznata stražnja vrata a zatim su počeli tražiti nestale instance, uključujući postavljanje mreže ranjivih poslužitelja meda.

Kao rezultat toga, 21 verzija trojanskog paketa identificirana kao zamjena za SSH, koji ostaju relevantni posljednjih godina.

Linux_Sigurnost

Što ESET-ovo osoblje tvrdi po tom pitanju?

ESET-ovi istraživači priznali su da ove namaze nisu otkrili iz prve ruke. Ta čast pripada tvorcima drugog Linuxovog zlonamjernog softvera nazvanog Windigo (zvani Ebury).

ESET kaže da je tijekom analize Windigo botneta i njegove središnje Eburyove pozadine, otkrili su da Ebury ima unutarnji mehanizam koji traži druga lokalno instalirana OpenSSH stražnja vrata.

ESET je rekao da je način na koji je tim Windigo to učinio bio upotrebom Perl skripte koja je skenirala 40 potpisa datoteka (hashova).

"Kada smo ispitali ove potpise, brzo smo shvatili da nemamo uzorke koji odgovaraju većini stražnjih vrata opisanih u skripti", rekao je Marc-Etienne M. Léveillé, ESET-ov analitičar zlonamjernog softvera.

"Operateri zlonamjernog softvera zapravo su imali više znanja i vidljivosti SSH backdoor-a nego mi", dodao je.

Izvještaj ne ulazi u detalje o tome kako botnet operateri postavljaju ove verzije OpenSSH-a na zaraženim domaćinima.

Ali ako smo išta naučili iz prethodnih izvještaja o operacijama zlonamjernog softvera Linux, to je to Hakeri se često oslanjaju na iste stare tehnike kako bi se utvrdili na Linux sustavima:

Gruba sila ili rječnički napadi koji pokušavaju pogoditi SSH lozinke. Korištenje jakih ili jedinstvenih lozinki ili sustava filtriranja IP-a za SSH prijave trebalo bi spriječiti ove vrste napada.

Iskorištavanje ranjivosti u aplikacijama koje se izvode na Linux poslužitelju (na primjer, web aplikacijama, CMS-u itd.).

Ako je aplikacija / usluga pogrešno konfigurirana s root pristupom ili ako napadač iskoristi manju eskalaciju privilegija, uobičajena početna mana zastarjelih WordPress dodataka može se lako prenijeti na osnovni operativni sustav.

Ažuriranje svega, i operativni sustav i aplikacije koje se na njemu izvode trebaju spriječiti ovu vrstu napada.

Se pripremili su skriptu i pravila za antivirus i dinamičku tablicu s karakteristikama svake vrste SSH trojanaca.

Pogođene datoteke na Linuxu

Kao i dodatne datoteke stvorene u sustavu i lozinke za pristup kroz stražnja vrata, kako bi se identificirale zamijenjene OpenSSH komponente.

Npr. u nekim slučajevima datoteke poput onih koje se koriste za bilježenje presretnutih lozinki:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etc / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Itd. / Gshadow–«,
  • "/Etc/X11/.pr"

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   nickd89 dijo
    zec 5 godina

    zanimljiv članak
    pretražite jedan po jedan u direktorijima i pronađite jedan
    "/ Etc / gshadow–",
    što će se dogoditi ako ga izbrišem

    Odgovorite na nickd89
  2.   Jorge dijo
    zec 5 godina

    Ta mi se datoteka "gshadow" također pojavljuje i traži root dozvole za njezinu analizu ...

    Odgovorite Jorgeu