Az ESET 21 rosszindulatú csomagot azonosított, amelyek helyettesítik az OpenSSH-t

Darkcrizt

4 perc

ESET Linux

Az ESET nemrégiben írt egy bejegyzést (53 oldalas PDF) ahol egyes trójai csomagok vizsgálatának eredményeit mutatja hogy hackereket telepítettek a Linux hosztok megsértése után.

Ez kbhátsó ajtó elhagyása vagy a felhasználói jelszavak lehallgatása érdekében miközben csatlakozik más gazdagépekhez.

A trójai szoftver minden figyelembe vett változata felváltotta az OpenSSH kliens vagy szerver folyamat összetevőit.

Az észlelt csomagokról

az 18 azonosított opció tartalmazta a bemeneti jelszavak és titkosító kulcsok elfogására szolgáló funkciókat, valamint 17 hátsó ajtó funkciót amelyek lehetővé teszik a támadók számára, hogy egy előre definiált jelszóval titokban hozzáférjenek egy feltört géphez.

Továbbá lA kutatók felfedezték, hogy a DarkLeech operátorok által használt SSH hátsó ajtó megegyezik azzal, amelyet Carbanak használ néhány évvel később, és ez a fenyegetés szereplői a nyilvánosság számára elérhető rosszindulatú programokból széles körű komplexitást fejlesztettek ki a hátsó ajtó megvalósításában. Hálózati protokollok és minták.

Hogyan volt ez lehetséges?

A rendszer elleni sikeres támadást követően rosszindulatú összetevőket telepítettek; Általános szabály, hogy a támadók tipikus jelszóválasztással vagy a webalkalmazások vagy szerver-illesztőprogramok nem javított biztonsági réseinek kihasználásával jutottak hozzáféréshez.

E rosszindulatú programok azonosítási előzményei figyelmet érdemelnek.

A Windigo botnet elemzésének folyamata során a kutatók odafigyelt az ssh-t az Ebury hátsó ajtóra cserélő kódra, amely az indulás előtt ellenőrizte az OpenSSH egyéb hátsó ajtajainak telepítését.

A versengő trójaiak azonosítása, 40 ellenőrzőlistát használtak fel.

Ezen funkciók használatával Az ESET képviselői úgy találták, hogy közülük sokan nem fedték le a korábban ismert hátsó ajtókat majd elkezdték keresni a hiányzó példányokat, többek között a sebezhető honeypot szerverek hálózatának telepítésével.

Ennek eredményeként 21 trójai csomagváltozatot azonosítottak az SSH helyettesítésére, amelyek továbbra is relevánsak az elmúlt években.

Linux_biztonság

Mit vitatnak az ESET munkatársai az ügyben?

Az ESET kutatói beismerték, hogy nem saját kezűleg fedezték fel ezeket a terjedéseket. Ez a megtiszteltetés egy másik Linux kártevő, Windigo (más néven Ebury) nevű alkotóinak köszönhető.

Az ESET szerint a Windigo botnet és annak központi Ebury hátsó ajtajának elemzése közben megállapították, hogy Ebury rendelkezik egy belső mechanizmussal, amely más helyileg telepített OpenSSH hátsó ajtókat keres.

Az ESET szerint a Windigo csapata ezt úgy csinálta, hogy Perl szkriptet használt, amely 40 fájl aláírást (kivonatot) szkennelt.

"Amikor megvizsgáltuk ezeket az aláírásokat, gyorsan rájöttünk, hogy nincsenek olyan mintáink, amelyek megfelelnek a forgatókönyvben leírt hátsó ajtók többségének" - mondta Marc-Etienne M. Léveillé, az ESET rosszindulatú programok elemzője.

"A rosszindulatú programok üzemeltetői valójában több ismerettel és láthatósággal rendelkeztek az SSH hátsó ajtóiról, mint mi" - tette hozzá.

A jelentés nem részletezi, hogy a botnet-üzemeltetők miként állítják be ezeket az OpenSSH verziókat fertőzött gazdákon.

De ha bármit megtudtunk a Linux rosszindulatú programokkal kapcsolatos korábbi jelentéseiből, az az A hackerek gyakran ugyanazokra a régi technikákra támaszkodnak, hogy megalapozzák a Linux rendszereket:

Nyers erővel vagy szótári támadásokkal, amelyek megpróbálják kitalálni az SSH jelszavakat. Erős vagy egyedi jelszavak vagy IP-szűrőrendszer használata az SSH bejelentkezéshez megakadályozhatja az ilyen típusú támadásokat.

A Linux kiszolgálón futó alkalmazások (például webalkalmazások, CMS stb.) Biztonsági réseinek kihasználása.

Ha az alkalmazást / szolgáltatást tévesen konfigurálták root hozzáféréssel, vagy ha a támadó kihasznál egy privilégium-eszkalációs hibát, akkor az elavult WordPress-bővítmények gyakori kezdeti hibája könnyen átterjedhet az alapul szolgáló operációs rendszerre.

Minden naprakészen tartásával az operációs rendszernek és a rajta futó alkalmazásoknak meg kell akadályozniuk az ilyen típusú támadásokat.

Se elkészítettek egy szkriptet és szabályokat az antivírusokról, valamint egy dinamikus táblázatot az SSH trójaiak minden típusának jellemzőivel.

Érintett fájlok Linuxon

Valamint a rendszerben létrehozott további fájlok és a hátsó ajtón keresztüli hozzáféréshez szükséges jelszavak a kicserélt OpenSSH-összetevők azonosításához.

Pl. egyes esetekben olyan fájlok, mint például az elfogott jelszavak rögzítése:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Stb. / Ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Stb. / Gshadow–«,
  • "/Etc/X11/.pr"

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: AB Internet Networks 2008 SL
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

  1.   nicd89 dijo
    ezelőtt 5 év

    érdekes cikk
    egyenként keressen a könyvtárakban, és talált egyet
    "/ Etc / gshadow–",
    mi lesz, ha törlöm

    Válasz nickd89 címre
  2.   Jorge dijo
    ezelőtt 5 év

    Ez a "gshadow" fájl nekem is megjelenik, és root engedélyeket kér az elemzéséhez ...

    Válasz Jorge-nak