ESET nustatė 21 kenksmingą paketą, pakeičiantį „OpenSSH“

Darkcrizt

4 minučių

„Eset Linux“

ESET neseniai paskelbė įrašą (53 puslapių PDF) kur rodomi kai kurių Trojos paketų nuskaitymo rezultatai kad įsilaužėliai buvo įdiegti pažeidus „Linux“ kompiuterius.

Tai mnorint palikti užpakalines duris ar perimti vartotojo slaptažodžius prisijungdamas prie kitų šeimininkų.

Visi nagrinėjami „Trojan“ programinės įrangos variantai pakeitė „OpenSSH“ kliento arba serverio proceso komponentus.

Apie aptiktus paketus

The 18 nustatytų parinkčių buvo funkcijos, skirtos įvesties slaptažodžiams ir šifravimo raktams perimti, ir 17 numatytos užpakalinės funkcijos kurie leidžia užpuolikui slapta gauti prieigą prie nulaužto kompiuterio naudojant iš anksto nustatytą slaptažodį.

Be to, lTyrėjai atrado, kad „DarkLeech“ operatorių naudojamas SSH užpakalinis langas yra tas pats, kurį naudoja „Carbanak“ praėjus keleriems metams ir šios grėsmės veikėjai sukūrė daug sudėtingumo įgyvendinant užpakalines duris - iš visuomenei prieinamų kenkėjiškų programų. Tinklo protokolai ir pavyzdžiai.

Kaip tai buvo įmanoma?

Kenkėjiški komponentai buvo dislokuoti po sėkmingos atakos prieš sistemą; Paprastai užpuolikai gavo prieigą pasirinkdami įprastą slaptažodį arba naudodamiesi nepašalintomis interneto programų ar serverių tvarkyklių spragomis, po kurių pasenusios sistemos naudojo atakas, kad padidintų savo privilegijas.

Dėmesio nusipelno šių kenkėjiškų programų identifikavimo istorija.

Analizuodami „Windigo“ botnetą, tyrėjai atkreipė dėmesį į kodą pakeisti ssh į „Ebury“ užpakalinę duris, kuris prieš paleidimą patikrino kitų „OpenSSH“ užpakalinių durų įrengimą.

Norėdami nustatyti konkuruojančius Trojos arklius, buvo naudojamas 40 kontrolinių sąrašų sąrašas.

Naudodamiesi šiomis funkcijomis, ESET atstovai nustatė, kad daugelis jų neuždarė anksčiau žinomų galinių durų tada jie pradėjo ieškoti trūkstamų atvejų, įskaitant diegdami pažeidžiamų „honeypot“ serverių tinklą.

Kaip rezultatas, Nustatyta, kad 21 Trojan paketo variantas pakeičia SSH, kurie išlieka aktualūs pastaraisiais metais.

„Linux_Security“

Ką ESET darbuotojai ginčija šiuo klausimu?

ESET tyrėjai prisipažino, kad šios sklaidos neatrado iš pirmų lūpų. Ši garbė priklauso kitos „Linux“ kenkėjiškos programos, vadinamos „Windigo“ (dar žinomos kaip „Ebury“), kūrėjams.

ESET teigia, kad analizuodamas „Windigo“ botnetą ir jo centrinę „Ebury“ užpakalinę dalį, jie nustatė, kad „Ebury“ turėjo vidinį mechanizmą, kuris ieškojo kitų vietoje įdiegtų „OpenSSH“ galinių durų.

„Windigo“ komanda tai padarė, pasak ESET, naudodama „Perl“ scenarijų, nuskaitytą 40 failų parašų (maišų).

„Išnagrinėję šiuos parašus, greitai supratome, kad neturime pavyzdžių, kurie atitiktų daugumą užpakalinių durų, aprašytų scenarijuje“, - sakė Marcas Etienne'as M. Léveillé, ESET kenkėjiškų programų analitikas.

„Kenkėjiškų programų operatoriai iš tikrųjų turėjo daugiau žinių apie SSH vidines duris ir jų matomumo nei mes“, - pridūrė jis.

Ataskaitoje nėra išsamiai aprašyta, kaip botnetų operatoriai sukuria šias „OpenSSH“ versijas ant užkrėstų šeimininkų.

Bet jei mes ką nors sužinojome iš ankstesnių pranešimų apie „Linux“ kenkėjiškų programų operacijas, tai viskas Įsilaužėliai dažnai remiasi tomis pačiomis senomis technologijomis, kad įsitvirtintų „Linux“ sistemose:

Žiaurios jėgos ar žodynų atakos, bandančios atspėti SSH slaptažodžius. SSH prisijungimams naudojant stiprius ar unikalius slaptažodžius arba IP filtravimo sistemą, reikėtų užkirsti kelią tokio tipo atakoms.

„Linux“ serveryje veikiančių programų (pvz., Žiniatinklio programų, TVS ir kt.) Pažeidžiamumų išnaudojimas.

Jei programa / paslauga buvo neteisingai sukonfigūruota naudojant root prieigą arba jei užpuolikas naudojasi privilegijos eskalavimo trūkumu, dažnai pasenusių „WordPress“ papildinių pradinį trūkumą galima lengvai išplėsti į pagrindinę operacinę sistemą.

Nuolat atnaujinant viską, tiek operacinę sistemą, tiek joje veikiančias programas, reikėtų užkirsti kelią tokio tipo atakoms.

Se jie parengė antivirusinių programų scenarijų ir taisykles bei dinaminę lentelę su kiekvieno tipo SSH Trojanų savybėmis.

Paveikti failai sistemoje „Linux“

Taip pat papildomi sistemoje sukurti failai ir slaptažodžiai, reikalingi norint patekti per užpakalines duris, norint nustatyti pakeistus „OpenSSH“ komponentus.

Pavyzdžiui, kai kuriais atvejais failai, pvz., naudojami užfiksuotiems slaptažodžiams įrašyti:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etc / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Etc / gshadow–«,
  • "/Etc/X11/.pr"

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Už duomenis atsakingas: AB Internet Networks 2008 SL
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.

  1.   89 sakė
    prieš 5 metai

    įdomus straipsnis
    ieškokite po vieną kataloguose ir radote
    "/ Etc / gshadow–",
    kas bus, jei aš jį ištrinsiu

    Atsakyti nickd89
  2.   Jorge sakė
    prieš 5 metai

    Tas „gshadow“ failas man taip pat pasirodo ir prašo root teisių jį analizuoti ...

    Atsakykite Jorge