ESET פרסם לאחרונה פוסט (PDF בעמוד 53 עמודים) שם הוא מציג את תוצאות הסריקה של כמה חבילות טרויאנים שהאקרים הותקנו לאחר שהתפשרו על מארחי לינוקס.
זה געל מנת להשאיר דלת אחורית או ליירט סיסמאות משתמש תוך כדי התחברות למארחים אחרים.
כל הגרסאות הנחשבות של תוכנת הטרויאנים החליפו את רכיבי תהליך הלקוח או השרת של OpenSSH.
אודות חבילות שזוהו
לאס 18 אפשרויות שזוהו כללו פונקציות ליירוט סיסמאות כניסה ומפתחות הצפנה ו -17 פונקציות לדלת אחורית המאפשרים לתוקף להשיג בחשאי גישה למארח שנפרץ באמצעות סיסמה מוגדרת מראש.
יתר על כן, lחוקרים גילו כי דלת אחורית של SSH המשמשת את מפעילי DarkLeech זהה לזו ששימשה את קרבאנאק כמה שנים מאוחר יותר ושאותם שחקני האיום פיתחו קשת רחבה של מורכבות ביישומים מאחור, מתוכניות זדוניות הזמינות לציבור. פרוטוקולי רשת ודוגמאות.
איך זה היה אפשרי?
רכיבים זדוניים נפרסו לאחר התקפה מוצלחת על המערכת; ככלל, התוקפים קיבלו גישה באמצעות בחירת סיסמא טיפוסית או על ידי ניצול פרצות לא מתוקנות ביישומי אינטרנט או במנהלי התקנים של שרתים, ולאחר מכן מערכות מיושנות השתמשו בהתקפות כדי להגדיל את הרשאותיהם.
היסטוריית הזיהוי של תוכניות זדוניות אלה ראויה לתשומת לב.
בתהליך ניתוח ה- Botnet Windigo, החוקרים שם לב לקוד להחלפת ssh בדלת אחורית של אבורי, שלפני ההשקה, אימתה התקנת דלתות אחוריות אחרות עבור OpenSSH.
כדי לזהות סוסים טרויאניים מתחרים, נעשה שימוש ברשימה של 40 רשימות ביקורת.
באמצעות פונקציות אלה, נציגי ESET מצאו שרבים מהם לא כיסו דלתות אחוריות ידועות בעבר ואז הם התחילו לחפש את המקרים החסרים, כולל על ידי פריסת רשת של שרתי ירח דבש פגיעים.
כתוצאה מכך, 21 גרסאות חבילה טרויאנית שזוהו כמחליפות SSH, שנותרו רלוונטיים בשנים האחרונות.
מה טוענים אנשי ESET בעניין?
חוקרי ESET הודו כי לא גילו ממרחים אלה ממקור ראשון. הכבוד הזה מגיע ליוצרים של תוכנה זדונית אחרת של לינוקס בשם Windigo (aka Ebury).
ESET אומרת כי תוך כדי ניתוח ה- Botnet של Windigo ואת הדלת האחורית המרכזית של Ebury, הם גילו כי לאבורי יש מנגנון פנימי שחיפש אחר דלתות אחוריות מותקנות מקומית של OpenSSH.
האופן שבו צוות ווינדיגו עשה זאת, אמר ESET, היה באמצעות סקריפט פרל שסרק 40 חתימות קבצים (hashes).
"כשבדקנו את החתימות הללו, הבנו במהירות שאין לנו דוגמאות שתואמות את מרבית הדלתות האחוריות המתוארות בתסריט", אמר מארק אטיין מ 'לווילה, אנליסט תוכנות זדוניות של ESET.
"למפעילי התוכנות הזדוניות למעשה היה יותר ידע ונראות של דלתות אחוריות של SSH מאשר לנו", הוסיף.
הדו"ח אינו מתייחס לפרטים כיצד מפעילי בוטנט נוטעים גרסאות OpenSSH אלה על מארחים נגועים.
אבל אם למדנו משהו מדיווחים קודמים על פעולות זדוניות של לינוקס, זה זה האקרים מסתמכים לרוב על אותן טכניקות ישנות כדי להשיג דריסת רגל במערכות לינוקס:
כוח אכזרי או התקפות מילוניות המנסות לנחש סיסמאות SSH. שימוש בסיסמאות חזקות או ייחודיות או במערכת סינון IP עבור כניסות SSH אמור למנוע התקפות מסוג זה.
ניצול נקודות תורפה ביישומים הפועלים על שרת לינוקס (למשל, יישומי אינטרנט, CMS וכו ').
אם האפליקציה / השירות הוגדרו בצורה שגויה עם גישה לשורש או אם התוקף מנצל פגם בהסלמה של הרשאות, ניתן בקלות להסלים פגם ראשוני נפוץ של תוספי וורדפרס מיושנים למערכת ההפעלה הבסיסית.
על ידי עדכון הכל, גם מערכת ההפעלה וגם היישומים הפועלים עליה אמורים למנוע התקפות מסוג זה.
Se הם הכינו סקריפט וכללים לאנטי-וירוס וטבלת ציר עם מאפיינים של כל סוג של סוסים טרויאניים מסוג SSH.
קבצים מושפעים בלינוקס
כמו גם קבצים נוספים שנוצרו במערכת וסיסמאות לגישה דרך הדלת האחורית, לזיהוי רכיבי OpenSSH שהוחלפו.
לדוגמה: במקרים מסוימים, קבצים כגון אלה המשמשים להקלטת סיסמאות שיורטו:
- "/Usr/include/sn.h",
- "/Usr/lib/mozilla/extensions/mozzlia.ini",
- "/Usr/local/share/man/man1/Openssh.1",
- "/ וכו '/ ssh / ssh_known_hosts2",
- "/Usr/share/boot.sync",
- "/Usr/lib/libpanel.so.a.3",
- "/Usr/lib/libcurl.a.2.1",
- "/ Var / log / utmp",
- "/Usr/share/man/man5/ttyl.5.gz",
- "/Usr/share/man/man0/.cache",
- "/Var/tmp/.pipe.sock",
- "/Etc/ssh/.sshd_auth",
- "/Usr/include/X11/sessmgr/coredump.in",
- «/ Etc / gshadow–«,
- "/Etc/X11/.pr"
כתבה מעניינת
חפש אחד אחד בספריות ומצא אחד
"/ Etc / gshadow–",
מה יקרה אם אמחוק את זה
אותו קובץ "gshadow" מופיע גם לי ומבקש הרשאות שורש לניתוחו ...