ESETは最近投稿しました (53ページのPDF) いくつかのトロイの木馬パッケージのスキャン結果が表示されます そのハッカーは、Linuxホストを危険にさらした後にインストールされました。
このcバックドアを離れたり、ユーザーパスワードを傍受したりするため 他のホストへの接続中。
トロイの木馬ソフトウェアのすべての考慮された亜種は、OpenSSHクライアントまたはサーバープロセスコンポーネントを置き換えました。
検出されたパケットについて
ラス 識別された18のオプションには、入力パスワードと暗号化キーを傍受する機能と、17の提供されたバックドア機能が含まれていました。 これにより、攻撃者は事前定義されたパスワードを使用して、ハッキングされたホストに密かにアクセスできます。
さらに、l研究者は、DarkLeechオペレーターが使用するSSHバックドアがCarbanakが使用するものと同じであることを発見しました 数年後、その脅威アクターは、一般に公開されている悪意のあるプログラムから、バックドアの実装にさまざまな複雑さをもたらしました。 ネットワークプロトコルとサンプル。
これはどのようにして可能でしたか?
システムへの攻撃が成功した後、悪意のあるコンポーネントが展開されました; 原則として、攻撃者は通常のパスワードを選択するか、Webアプリケーションまたはサーバードライバーのパッチが適用されていない脆弱性を悪用することでアクセスを取得し、その後、古いシステムが攻撃を使用して特権を増やしました。
これらの悪意のあるプログラムの識別履歴は注目に値します。
ウィンディゴボットネットを分析する過程で、研究者たちは sshをEburyバックドアに置き換えるコードに注意を払いました。 これは、リリース前に、OpenSSHの他のバックドアのインストールを確認しました。
競合するトロイの木馬を特定するには、 40のチェックリストのリストが使用されました.
これらの機能を使用して、 ESETの担当者は、それらの多くが以前から知られているバックドアをカバーしていないことを発見しました 次に、脆弱なハニーポットサーバーのネットワークを展開するなどして、不足しているインスタンスを探し始めました。
その結果、 SSHの代わりとして識別された21のトロイの木馬パッケージの亜種、近年も関連性があります。
ESETのスタッフはこの問題について何を主張していますか?
ESETの研究者は、これらのスプレッドを直接発見しなかったことを認めました。 その栄誉は、Windigo(別名Ebury)と呼ばれる別のLinuxマルウェアの作成者に与えられます。
ESETによると、Windigoボットネットとその中央のEburyバックドアを分析している間、 彼らは、Eburyが他のローカルにインストールされたOpenSSHバックドアを探す内部メカニズムを持っていることを発見しました。
ESETによると、Windigoチームがこれを行った方法は、40個のファイル署名(ハッシュ)をスキャンするPerlスクリプトを使用することでした。
ESETマルウェアアナリストのMarc-EtienneM.Léveilléは、次のように述べています。「これらの署名を調べたところ、スクリプトで説明されているほとんどのバックドアに一致するサンプルがないことがすぐにわかりました。
「マルウェアオペレーターは、実際には私たちよりもSSHバックドアに関する知識と可視性を持っていました」と彼は付け加えました。
このレポートでは、ボットネットオペレーターがこれらのOpenSSHバージョンをどのように植え付けているかについては詳しく説明していません。 感染したホスト上。
しかし、Linuxマルウェアの操作に関する以前のレポートから何かを学んだとしたら、それは ハッカーは、Linuxシステムに足場を築くために、同じ古い手法に依存することがよくあります。
SSHパスワードを推測しようとするブルートフォース攻撃または辞書攻撃。 SSHログインに強力または一意のパスワードまたはIPフィルタリングシステムを使用すると、これらのタイプの攻撃を防ぐことができます。
Linuxサーバー上で実行されるアプリケーション(Webアプリケーション、CMSなど)の脆弱性の悪用。
アプリケーション/サービスがルートアクセスで誤って構成されている場合、または攻撃者が特権昇格の欠陥を悪用した場合、古いWordPressプラグインの一般的な初期の欠陥が基盤となるオペレーティングシステムに簡単にエスカレートされる可能性があります。
すべてを最新の状態に保つことにより、オペレーティングシステムとその上で実行されるアプリケーションの両方がこれらのタイプの攻撃を防ぐはずです。
Se 彼らは、アンチウイルス用のスクリプトとルール、および各タイプのSSHトロイの木馬の特性を備えた動的テーブルを準備しました。
Linux上の影響を受けるファイル
また、システムで作成された追加のファイルと、バックドアからアクセスするためのパスワードを使用して、置き換えられたOpenSSHコンポーネントを識別します。
例えば 場合によっては、傍受されたパスワードを記録するために使用されるファイルなど、次のようなファイルがあります。
- "/Usr/include/sn.h"、
- "/Usr/lib/mozilla/extensions/mozzlia.ini"、
- "/Usr/local/share/man/man1/Openssh.1"、
- "/ etc / ssh / ssh_known_hosts2"、
- "/Usr/share/boot.sync"、
- "/Usr/lib/libpanel.so.a.3"、
- "/Usr/lib/libcurl.a.2.1"、
- "/ Var / log / utmp"、
- "/Usr/share/man/man5/ttyl.5.gz"、
- "/Usr/share/man/man0/.cache"、
- "/var/tmp/.pipe.sock"、
- "/etc/ssh/.sshd_auth"、
- "/Usr/include/X11/sessmgr/coredump.in"、
- «/ etc / gshadow –«、
- 「/Etc/X11/.pr」
興味深い記事
ディレクトリ内をXNUMXつずつ検索し、XNUMXつ見つけました
"/ etc / gshadow–"、
削除するとどうなりますか
その「gshadow」ファイルも私には表示され、それを分析するためのroot権限を要求します...