ESET ha identificato 21 pacchetti dannosi che sostituiscono OpenSSH

Darkcrizt

4 minuti

ESET Linux

ESET ha recentemente pubblicato un post (53 pagine PDF) dove mostra i risultati di una scansione di alcuni pacchetti Trojan che gli hacker sono stati installati dopo aver compromesso gli host Linux.

Questo cper lasciare una porta sul retro o intercettare le password degli utenti durante la connessione ad altri host.

Tutte le varianti considerate del software Trojan hanno sostituito i componenti del processo client o server OpenSSH.

Informazioni sui pacchetti rilevati

Le 18 opzioni identificate includevano funzioni per intercettare password di input e chiavi di crittografia e 17 funzioni backdoor fornite che consentono a un utente malintenzionato di ottenere segretamente l'accesso a un host compromesso utilizzando una password predefinita.

Inoltre, lI ricercatori hanno scoperto che una backdoor SSH utilizzata dagli operatori di DarkLeech è la stessa utilizzata da Carbanak pochi anni dopo e che gli attori delle minacce avevano sviluppato un ampio spettro di complessità nelle implementazioni backdoor, dai programmi dannosi disponibili al pubblico. Protocolli e campioni di rete.

Come è stato possibile?

I componenti dannosi sono stati distribuiti dopo un attacco riuscito al sistema; di norma, gli aggressori hanno ottenuto l'accesso tramite la tipica selezione di password o sfruttando le vulnerabilità prive di patch nelle applicazioni Web o nei driver dei server, dopodiché i sistemi obsoleti hanno utilizzato gli attacchi per aumentare i propri privilegi.

La cronologia di identificazione di questi programmi dannosi merita attenzione.

Nel processo di analisi della botnet Windigo, i ricercatori prestato attenzione al codice per sostituire ssh con backdoor Ebury, che prima del lancio, verificava l'installazione di altre backdoor per OpenSSH.

Per identificare i trojan concorrenti, è stato utilizzato un elenco di 40 liste di controllo.

Utilizzando queste funzioni, I rappresentanti di ESET hanno scoperto che molti di loro non coprivano backdoor precedentemente noti e poi hanno iniziato a cercare le istanze mancanti, anche implementando una rete di server honeypot vulnerabili.

Di conseguenza, 21 varianti del pacchetto Trojan identificate come sostitutive di SSH, che rimangono rilevanti negli ultimi anni.

Linux_Sicurezza

Cosa ne pensa il personale ESET in merito?

I ricercatori di ESET hanno ammesso di non aver scoperto di prima mano queste creme. Questo onore va ai creatori di un altro malware Linux chiamato Windigo (aka Ebury).

ESET afferma che, analizzando la botnet Windigo e la sua backdoor centrale Ebury, hanno scoperto che Ebury aveva un meccanismo interno che cercava altre backdoor OpenSSH installate localmente.

Il modo in cui il team di Windigo ha fatto questo, ha detto ESET, è stato utilizzando uno script Perl che ha scansionato 40 firme di file (hash).

"Quando abbiamo esaminato queste firme, ci siamo subito resi conto che non c'erano campioni che corrispondessero alla maggior parte delle backdoor descritte nello script", ha affermato Marc-Etienne M. Léveillé, analista di malware ESET.

"Gli operatori di malware avevano effettivamente più conoscenza e visibilità delle backdoor SSH di noi", ha aggiunto.

Il rapporto non entra nei dettagli su come gli operatori di botnet installano queste versioni di OpenSSH su host infetti.

Ma se abbiamo imparato qualcosa dai precedenti rapporti sulle operazioni di malware Linux, è proprio questo Gli hacker spesso si affidano alle stesse vecchie tecniche per prendere piede sui sistemi Linux:

Attacchi di forza bruta o dizionario che tentano di indovinare le password SSH. L'utilizzo di password complesse o univoche o di un sistema di filtraggio IP per gli accessi SSH dovrebbe impedire questi tipi di attacchi.

Sfruttamento delle vulnerabilità nelle applicazioni che girano sul server Linux (ad esempio, applicazioni web, CMS, ecc.).

Se l'applicazione / il servizio è stato configurato in modo errato con l'accesso root o se l'autore dell'attacco sfrutta un difetto di escalation dei privilegi, un difetto iniziale comune di plugin WordPress obsoleti può essere facilmente inoltrato al sistema operativo sottostante.

Mantenendo tutto aggiornato, sia il sistema operativo che le applicazioni che vengono eseguite su di esso dovrebbero prevenire questo tipo di attacco.

Se hanno preparato uno script e regole per l'antivirus e una tabella dinamica con le caratteristiche di ogni tipo di trojan SSH.

File interessati su Linux

Oltre a file aggiuntivi creati nel sistema e password per l'accesso attraverso la porta sul retro, per identificare i componenti OpenSSH che sono stati sostituiti.

Ad esempio, in alcuni casi, file come quelli utilizzati per registrare le password intercettate:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etc / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Etc / gshadow–«,
  • "/Etc/X11/.pr"

Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile del trattamento: AB Internet Networks 2008 SL
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.

  1.   nick89 suddetto
    fa 5 anni

    articolo interessante
    cercare uno per uno nelle directory e trovarne uno
    "/ Etc / gshadow–",
    cosa succederà se lo elimino

    Rispondi a nickd89
  2.   Jorge suddetto
    fa 5 anni

    Anche quel file "gshadow" mi appare e chiede i permessi di root per analizzarlo ...

    Rispondi a Jorge