Ebury ir bijis aktīvs kopš 2009. gada un pašlaik ietekmē vairāk nekā 400,000 XNUMX Linux serveru

ESET attēls, kurā parādītas iterācijas starp Ebury vainīgajiem un meduspodu

Pirms dažām dienām ESET pētnieki publicēja publikāciju kurā tie pievēršas darbībām, kas saistītas ar "Ebury" rootkit. Saskaņā ar ziņojumu, Ebury darbojas kopš 2009. gada un ir inficējis vairāk nekā 400,000 2023 serveru, kuros darbojas Linux, kā arī vairākus simtus uz FreeBSD, OpenBSD un Solaris balstītu sistēmu. ESET ziņo, ka 110,000. gada beigās Ebury ietekmēja vēl aptuveni XNUMX XNUMX serveru.

Šī studija ir īpaši aktuāls sakarā ar uzbrukumu kernel.org kurā Eberijs bija iesaistīts, atklāj jaunas detaļas par Linux kodola izstrādes infrastruktūras iefiltrēšanos 2011. gadā. Turklāt Ebury ir konstatēts domēna reģistrācijas serveros, kriptovalūtu apmaiņā, Tor izejas mezglos un vairākos anonīmos mitināšanas pakalpojumu sniedzējos.

Pirms desmit gadiem mēs veicinājām izpratni par Ebury, publicējot balto grāmatu, ko nosaucām par operāciju Windigo, kurā tika dokumentēta kampaņa, kas finansiāla labuma gūšanai izmantoja Linux ļaunprātīgu programmatūru. Šodien mēs publicējam turpmāko rakstu par to, kā Ebury ir attīstījies un par jaunajām ļaunprātīgas programmatūras ģimenēm, ko tā operatori izmanto, lai gūtu peļņu no sava Linux servera robottīkla.

Sākotnēji tika uzskatīts, ka uzbrucēji kas apdraudēja kernel.org serverus Viņi palika neatklāti 17 dienas. Tomēr saskaņā ar ESET šis periods tika aprēķināts no Phalanx sakņu komplekta instalēšanas.

Bet tas tā nebija, kopš Ebury, kas jau atradās serveros kopš 2009. gada, un tas ļāva piekļūt saknei aptuveni divus gadus. Ebury un Phalanx tika uzstādīti kā daļa no dažādiem uzbrukumiem ko veic dažādas uzbrucēju grupas. Ebury aizmugures durvju instalēšana skāra vismaz 4 serverus kernel.org infrastruktūrā, no kuriem divi tika apdraudēti un netika atklāti aptuveni divus gadus, bet pārējie divi — 6 mēnešus.

Tiek minēts, ka Uzbrucējiem izdevies piekļūt 551 lietotāja paroļu jaucējkodiem glabājas mapē /etc/shadow, ieskaitot kodola uzturētājus. Šie konti Tie tika izmantoti, lai piekļūtu Git.

Pēc incidenta tika veiktas izmaiņas parolēs, un piekļuves modelis tika pārskatīts, iekļaujot tajā ciparparakstus. No 257 ietekmētajiem lietotājiem uzbrucējiem izdevās noteikt paroles skaidrā tekstā, iespējams, izmantojot jaucējus un pārtverot paroles, ko SSH izmantoja Ebury ļaunprātīgais komponents.

Ļaunprātīgais komponents Ebury izplatījās kā koplietojama bibliotēka kas pārtvēra OpenSSH izmantotās funkcijas, lai izveidotu attālus savienojumus ar sistēmām ar root tiesībām. Šis uzbrukums nebija īpaši vērsts uz kernel.org, un rezultātā ietekmētie serveri kļuva par daļu no robottīkla, ko izmanto, lai sūtītu surogātpastu, nozagtu akreditācijas datus izmantošanai citās sistēmās, novirzītu tīmekļa trafiku un veiktu citas ļaunprātīgas darbības.

Atjaunināta arī pati Ebury ļaunprogrammatūra. Jaunais lielais versijas atjauninājums 1.8 pirmo reizi tika redzēts 2023. gada beigās. Starp atjauninājumiem ir jauni apmulsināšanas paņēmieni, jauns domēna ģenerēšanas algoritms (DGA) un uzlabojumi lietotāja saknes komplektā, ko Ebury izmanto, lai paslēptos no sistēmas administratoriem. Kad tas ir aktīvs, process, fails, ligzda un pat piešķirtā atmiņa (6. attēls) ir paslēpti.

Lai iefiltrētos serveros, Uzbrucēji izmantoja neaizlāgotas ievainojamības servera programmatūrā, piemēram, kļūmes mitināšanas paneļos un pārtvertās paroles.

Turklāt tiek pieņemts, ka kernel.org serveri tika uzlauzti pēc tam, kad tika uzlauzta parole vienam no lietotājiem, kuriem ir piekļuve čaulai, un, lai palielinātu privilēģijas, tika izmantotas tādas ievainojamības kā Dirty COW.

Tiek minēts, ka jaunākajās Ebury versijās papildus aizmugures durvīm bija iekļauti Apache httpd papildu moduļi, kas ļauj nosūtīt trafiku caur starpniekserveri, novirzīt lietotājus un pārtvert konfidenciālu informāciju. Viņiem bija arī kodola modulis, lai modificētu HTTP trafiku tranzītā, un rīki, lai paslēptu savu trafiku no ugunsmūriem. Turklāt tie iekļāva skriptus, lai veiktu Adversary-in-the-Middle (AitM) uzbrukumus, pārtverot SSH akreditācijas datus mitināšanas pakalpojumu sniedzēju tīklos.

Visbeidzot, ja vēlaties uzzināt vairāk par to, varat skatīt sīkāku informāciju šī saite.


Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: AB Internet Networks 2008 SL
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.