ESET은 OpenSSH를 대체하는 21 개의 악성 패키지를 식별했습니다.

ESET은 최근 게시물을 작성했습니다. (53 페이지 PDF) 일부 트로이 목마 패키지 검사 결과를 보여줍니다. 해커가 Linux 호스트를 손상시킨 후 설치되었습니다.

이 c백도어를 떠나거나 사용자 암호를 가로 채기 위해 다른 호스트에 연결하는 동안.

트로이 목마 소프트웨어의 모든 변종은 OpenSSH 클라이언트 또는 서버 프로세스 구성 요소를 대체했습니다.

감지 된 패킷 정보

라스 18 개의 옵션에는 입력 암호 및 암호화 키를 가로채는 기능과 17 개의 제공되는 백도어 기능이 포함되어 있습니다. 공격자가 사전 정의 된 암호를 사용하여 해킹 된 호스트에 비밀리에 액세스 할 수 있도록합니다.

또한, l연구원들은 DarkLeech 운영자가 사용하는 SSH 백도어가 Carbanak에서 사용하는 것과 동일하다는 것을 발견했습니다. 몇 년 후, 그 위협 행위자들은 대중이 이용할 수있는 악성 프로그램에서 백도어 구현에서 광범위한 복잡성을 개발했습니다. 네트워크 프로토콜 및 샘플.

어떻게 가능 했습니까?

시스템 공격에 성공한 후 악성 구성 요소가 배포되었습니다.; 일반적으로 공격자는 일반적인 암호를 선택하거나 웹 애플리케이션 또는 서버 드라이버의 패치되지 않은 취약점을 악용하여 액세스 권한을 얻었으며, 그 후 오래된 시스템은 공격을 사용하여 권한을 높였습니다.

이러한 악성 프로그램의 식별 기록은 주목할 가치가 있습니다.

Windigo 봇넷을 분석하는 과정에서 연구원들은 ssh를 Ebury 백도어로 대체하는 코드에주의를 기울였습니다. 출시 전에 OpenSSH를위한 다른 백도어의 설치를 확인했습니다.

경쟁하는 트로이 목마를 식별하려면 40 개의 체크리스트 목록이 사용되었습니다..

이러한 기능을 사용하여 ESET 담당자는 그들 중 다수가 이전에 알려진 백도어를 다루지 않는다는 사실을 발견했습니다. 그런 다음 취약한 허니팟 서버 네트워크를 배포하는 등 누락 된 인스턴스를 찾기 시작했습니다.

그 결과, SSH를 대체하는 것으로 확인 된 21 개의 트로이 목마 패키지 변종, 최근 몇 년간 관련성이 유지됩니다.

ESET 직원은이 문제에 대해 무엇을 주장합니까?

ESET 연구원은 이러한 확산을 직접 발견하지 못했다고 인정했습니다. 그 영광은 Windigo (일명 Ebury)라는 또 다른 Linux 악성 코드의 제작자에게 돌아갑니다.

ESET은 Windigo 봇넷과 중앙 Ebury 백도어를 분석하는 동안 그들은 Ebury가 로컬에 설치된 다른 OpenSSH 백도어를 찾는 내부 메커니즘을 가지고 있음을 발견했습니다.

Windigo 팀이이 작업을 수행 한 방식은 40 개의 파일 서명 (해시)을 스캔하는 Perl 스크립트를 사용하는 것이라고 ESET은 말했습니다.

ESET 악성 코드 분석가 인 Marc-Etienne M. Léveillé는 "이러한 시그니처를 조사했을 때 스크립트에 설명 된 대부분의 백도어와 일치하는 샘플이 없다는 것을 금방 깨달았습니다.

"멀웨어 운영자는 실제로 우리보다 SSH 백도어에 대한 더 많은 지식과 가시성을 가지고있었습니다."라고 그는 덧붙였습니다.

이 보고서는 봇넷 운영자가 이러한 OpenSSH 버전을 설치하는 방법에 대한 세부 정보를 다루지 않습니다. 감염된 호스트에서.

하지만 Linux 악성 코드 작업에 대한 이전 보고서에서 배운 것이 있다면 해커는 Linux 시스템에서 발판을 확보하기 위해 동일한 이전 기술을 사용하는 경우가 많습니다.

SSH 암호를 추측하려는 무차별 대입 또는 사전 공격. SSH 로그인을 위해 강력하거나 고유 한 암호 또는 IP 필터링 시스템을 사용하면 이러한 유형의 공격을 방지 할 수 있습니다.

Linux 서버에서 실행되는 애플리케이션 (예 : 웹 애플리케이션, CMS 등)의 취약성 악용.

애플리케이션 / 서비스가 루트 액세스로 잘못 구성되었거나 공격자가 권한 에스컬레이션 결함을 악용하는 경우 오래된 WordPress 플러그인의 일반적인 초기 결함이 기본 운영 체제로 쉽게 에스컬레이션 될 수 있습니다.

모든 것을 최신 상태로 유지함으로써 운영 체제와 운영 체제에서 실행되는 응용 프로그램 모두 이러한 유형의 공격을 방지해야합니다.

Se 그들은 안티 바이러스를위한 스크립트와 규칙과 각 SSH 트로이 목마 유형의 특성을 가진 동적 테이블을 준비했습니다.

Linux에서 영향을받는 파일

교체 된 OpenSSH 구성 요소를 식별하기 위해 백도어를 통해 액세스하기 위해 시스템에 생성 된 추가 파일 및 암호.

예 어떤 경우에는 도청 된 암호를 기록하는 데 사용되는 파일과 같은 파일이 있습니다.

• "/Usr/include/sn.h",
• "/Usr/lib/mozilla/extensions/mozzlia.ini",
• "/Usr/local/share/man/man1/Openssh.1",
• "/ 기타 / ssh / ssh_known_hosts2",
• "/Usr/share/boot.sync",
• "/Usr/lib/libpanel.so.a.3",
• "/Usr/lib/libcurl.a.2.1",
• "/ Var / log / utmp",
• "/Usr/share/man/man5/ttyl.5.gz",
• "/Usr/share/man/man0/.cache",
• "/Var/tmp/.pipe.sock",
• "/Etc/ssh/.sshd_auth",
• "/Usr/include/X11/sessmgr/coredump.in",
• «/ 기타 / gshadow–«,
• "/Etc/X11/.pr"