ESET identificēja 21 ļaunprātīgu pakotni, kas aizstāj OpenSSH

Darkcrizt

4 Minutos

ESET Linux

ESET nesen izveidoja ziņu (53 lpp. PDF) kur tas parāda dažu Trojas pakotņu skenēšanas rezultātus ka hakeri tika instalēti pēc kompromitēšanas Linux resursdatoros.

Šis clai atstātu sētas durvis vai pārtvertu lietotāju paroles vienlaikus izveidojot savienojumu ar citiem saimniekiem.

Visi aplūkotie Trojas programmatūras varianti aizstāja OpenSSH klienta vai servera procesa komponentus.

Par konstatētajām paketēm

the 18 identificētās iespējas ietvēra funkcijas ievades paroļu un šifrēšanas atslēgu pārtveršanai un 17 nodrošināja aizmugures durvis kas ļauj uzbrucējam slepeni piekļūt uzlauztam resursdatoram, izmantojot iepriekš noteiktu paroli.

Turklāt lPētnieki atklāja, ka SSH aizmugurējā durvis, ko izmanto DarkLeech operatori, ir tas pats, ko izmanto Carbanak dažus gadus vēlāk, un šo draudu dalībnieku aizmugures durvju ieviešanā bija izveidojies plašs sarežģītības spektrs, sākot no sabiedrībai pieejamām ļaunprātīgām programmām. Tīkla protokoli un paraugi.

Kā tas bija iespējams?

Pēc veiksmīga uzbrukuma sistēmai tika izvietoti ļaunprātīgi komponenti; Parasti uzbrucēji piekļuva, izmantojot parastu paroli vai izmantojot neizmantotās tīmekļa lietojumprogrammu vai serveru draiveru ievainojamības, pēc tam novecojušas sistēmas izmantoja uzbrukumus, lai palielinātu viņu privilēģijas.

Šo ļaunprātīgo programmu identifikācijas vēsture ir pelnījusi uzmanību.

Windigo robottīkla analīzes procesā pētnieki pievērsa uzmanību kodam aizstāt ssh ar Ebury backdoor, kas pirms palaišanas pārbaudīja citu OpenSSH aizmugurējo durvju uzstādīšanu.

Lai identificētu konkurējošos Trojas zirgus, tika izmantots 40 kontrolsarakstu saraksts.

Izmantojot šīs funkcijas, ESET pārstāvji atklāja, ka daudzi no viņiem neaptvēra iepriekš zināmās aizmugurējās durvis un pēc tam viņi sāka meklēt trūkstošos gadījumus, tostarp izvietojot neaizsargātu honeypot serveru tīklu.

Kā rezultātā, 21 Trojas pakotnes variants identificēts kā SSH aizstājējs, kas pēdējos gados joprojām ir aktuāli.

Linux_Drošība

Ko ESET darbinieki strīdas par šo jautājumu?

ESET pētnieki atzina, ka viņi nav atklājuši šīs izplatības no pirmavotiem. Šis gods ir citas Linux ļaunprogrammatūras, kuras nosaukums ir Windigo (jeb Ebury), radītājiem.

ESET saka, ka, analizējot Windigo robottīklu un tā centrālo Ebury aizmuguri, viņi atklāja, ka Ebury bija iekšējs mehānisms, kas meklēja citas lokāli uzstādītas OpenSSH aizmugurējās durvis.

Veids, kā Windigo komanda to izdarīja, sacīja ESET, izmantojot Perla skriptu, kas skenēja 40 failu parakstus (jaucējus).

"Pārbaudot šos parakstus, mēs ātri sapratām, ka mums nav paraugu, kas atbilstu lielākajai daļai skriptā aprakstīto aizmugurējo durvju," sacīja ESET ļaunprātīgas programmatūras analītiķis Marks Etienne M. Léveillé.

"Ļaunprātīgas programmatūras operatoriem faktiski bija vairāk zināšanu un redzamības par SSH aizmugurējām durvīm nekā mums," viņš piebilda.

Ziņojumā nav sīki aprakstīts, kā robottīklu operatori izveido šīs OpenSSH versijas inficētiem saimniekiem.

Bet, ja mēs esam kaut ko iemācījušies no iepriekšējiem ziņojumiem par Linux ļaunprātīgas programmatūras operācijām, tas tā ir Hakeri bieži paļaujas uz tām pašām vecajām metodēm, lai iegūtu vietu Linux sistēmās:

Nežēlīgi spēki vai vārdnīcu uzbrukumi, kas mēģina uzminēt SSH paroles. Izmantojot SSH pieteikšanos, izmantojot spēcīgas vai unikālas paroles vai IP filtrēšanas sistēmu, jānovērš šāda veida uzbrukumi.

Ievainojamību izmantošana lietojumprogrammās, kas darbojas Linux serverī (piemēram, tīmekļa lietojumprogrammas, CMS utt.).

Ja lietojumprogramma / pakalpojums ir nepareizi konfigurēts ar root piekļuvi vai ja uzbrucējs izmanto privilēģiju eskalācijas kļūdu, novecojušo WordPress spraudņu kopējo sākotnējo kļūdu var viegli pārsūtīt uz pamata operētājsistēmu.

Uzturot visu atjauninātu, gan operētājsistēmai, gan tajā darbināmām lietojumprogrammām vajadzētu novērst šāda veida uzbrukumus.

Se viņi sagatavoja skriptu un noteikumus pretvīrusiem un dinamisku tabulu ar katra SSH Trojas zirga veida raksturlielumiem.

Ietekmētie faili Linux

Kā arī sistēmā izveidotie papildu faili un paroles piekļuvei caur aizmugurējām durvīm, lai identificētu nomainītos OpenSSH komponentus.

Piemēram dažos gadījumos faili, piemēram, tie, kurus izmanto pārtverto paroļu ierakstīšanai:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etc / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Etc / gshadow–«,
  • "/Etc/X11/.pr"

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: AB Internet Networks 2008 SL
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   nickd89 teica
    dara 5 gadi

    interesants raksts
    meklēt pa vienam katalogos un atradis
    "/ Etc / gshadow–",
    kas notiks, ja es to izdzēsīšu

    Atbildēt nickd89
  2.   Jorge teica
    dara 5 gadi

    Šis "gshadow" fails arī parādās man un prasa root atļaujas, lai to analizētu ...

    Atbildiet Horgem