ESET nesen izveidoja ziņu (53 lpp. PDF) kur tas parāda dažu Trojas pakotņu skenēšanas rezultātus ka hakeri tika instalēti pēc kompromitēšanas Linux resursdatoros.
Šis clai atstātu sētas durvis vai pārtvertu lietotāju paroles vienlaikus izveidojot savienojumu ar citiem saimniekiem.
Visi aplūkotie Trojas programmatūras varianti aizstāja OpenSSH klienta vai servera procesa komponentus.
Par konstatētajām paketēm
the 18 identificētās iespējas ietvēra funkcijas ievades paroļu un šifrēšanas atslēgu pārtveršanai un 17 nodrošināja aizmugures durvis kas ļauj uzbrucējam slepeni piekļūt uzlauztam resursdatoram, izmantojot iepriekš noteiktu paroli.
Turklāt lPētnieki atklāja, ka SSH aizmugurējā durvis, ko izmanto DarkLeech operatori, ir tas pats, ko izmanto Carbanak dažus gadus vēlāk, un šo draudu dalībnieku aizmugures durvju ieviešanā bija izveidojies plašs sarežģītības spektrs, sākot no sabiedrībai pieejamām ļaunprātīgām programmām. Tīkla protokoli un paraugi.
Kā tas bija iespējams?
Pēc veiksmīga uzbrukuma sistēmai tika izvietoti ļaunprātīgi komponenti; Parasti uzbrucēji piekļuva, izmantojot parastu paroli vai izmantojot neizmantotās tīmekļa lietojumprogrammu vai serveru draiveru ievainojamības, pēc tam novecojušas sistēmas izmantoja uzbrukumus, lai palielinātu viņu privilēģijas.
Šo ļaunprātīgo programmu identifikācijas vēsture ir pelnījusi uzmanību.
Windigo robottīkla analīzes procesā pētnieki pievērsa uzmanību kodam aizstāt ssh ar Ebury backdoor, kas pirms palaišanas pārbaudīja citu OpenSSH aizmugurējo durvju uzstādīšanu.
Lai identificētu konkurējošos Trojas zirgus, tika izmantots 40 kontrolsarakstu saraksts.
Izmantojot šīs funkcijas, ESET pārstāvji atklāja, ka daudzi no viņiem neaptvēra iepriekš zināmās aizmugurējās durvis un pēc tam viņi sāka meklēt trūkstošos gadījumus, tostarp izvietojot neaizsargātu honeypot serveru tīklu.
Kā rezultātā, 21 Trojas pakotnes variants identificēts kā SSH aizstājējs, kas pēdējos gados joprojām ir aktuāli.
Ko ESET darbinieki strīdas par šo jautājumu?
ESET pētnieki atzina, ka viņi nav atklājuši šīs izplatības no pirmavotiem. Šis gods ir citas Linux ļaunprogrammatūras, kuras nosaukums ir Windigo (jeb Ebury), radītājiem.
ESET saka, ka, analizējot Windigo robottīklu un tā centrālo Ebury aizmuguri, viņi atklāja, ka Ebury bija iekšējs mehānisms, kas meklēja citas lokāli uzstādītas OpenSSH aizmugurējās durvis.
Veids, kā Windigo komanda to izdarīja, sacīja ESET, izmantojot Perla skriptu, kas skenēja 40 failu parakstus (jaucējus).
"Pārbaudot šos parakstus, mēs ātri sapratām, ka mums nav paraugu, kas atbilstu lielākajai daļai skriptā aprakstīto aizmugurējo durvju," sacīja ESET ļaunprātīgas programmatūras analītiķis Marks Etienne M. Léveillé.
"Ļaunprātīgas programmatūras operatoriem faktiski bija vairāk zināšanu un redzamības par SSH aizmugurējām durvīm nekā mums," viņš piebilda.
Ziņojumā nav sīki aprakstīts, kā robottīklu operatori izveido šīs OpenSSH versijas inficētiem saimniekiem.
Bet, ja mēs esam kaut ko iemācījušies no iepriekšējiem ziņojumiem par Linux ļaunprātīgas programmatūras operācijām, tas tā ir Hakeri bieži paļaujas uz tām pašām vecajām metodēm, lai iegūtu vietu Linux sistēmās:
Nežēlīgi spēki vai vārdnīcu uzbrukumi, kas mēģina uzminēt SSH paroles. Izmantojot SSH pieteikšanos, izmantojot spēcīgas vai unikālas paroles vai IP filtrēšanas sistēmu, jānovērš šāda veida uzbrukumi.
Ievainojamību izmantošana lietojumprogrammās, kas darbojas Linux serverī (piemēram, tīmekļa lietojumprogrammas, CMS utt.).
Ja lietojumprogramma / pakalpojums ir nepareizi konfigurēts ar root piekļuvi vai ja uzbrucējs izmanto privilēģiju eskalācijas kļūdu, novecojušo WordPress spraudņu kopējo sākotnējo kļūdu var viegli pārsūtīt uz pamata operētājsistēmu.
Uzturot visu atjauninātu, gan operētājsistēmai, gan tajā darbināmām lietojumprogrammām vajadzētu novērst šāda veida uzbrukumus.
Se viņi sagatavoja skriptu un noteikumus pretvīrusiem un dinamisku tabulu ar katra SSH Trojas zirga veida raksturlielumiem.
Ietekmētie faili Linux
Kā arī sistēmā izveidotie papildu faili un paroles piekļuvei caur aizmugurējām durvīm, lai identificētu nomainītos OpenSSH komponentus.
Piemēram dažos gadījumos faili, piemēram, tie, kurus izmanto pārtverto paroļu ierakstīšanai:
- "/Usr/include/sn.h",
- "/Usr/lib/mozilla/extensions/mozzlia.ini",
- "/Usr/local/share/man/man1/Openssh.1",
- "/ Etc / ssh / ssh_known_hosts2",
- "/Usr/share/boot.sync",
- "/Usr/lib/libpanel.so.a.3",
- "/Usr/lib/libcurl.a.2.1",
- "/ Var / log / utmp",
- "/Usr/share/man/man5/ttyl.5.gz",
- "/Usr/share/man/man0/.cache",
- "/Var/tmp/.pipe.sock",
- "/Etc/ssh/.sshd_auth",
- "/Usr/include/X11/sessmgr/coredump.in",
- «/ Etc / gshadow–«,
- "/Etc/X11/.pr"
interesants raksts
meklēt pa vienam katalogos un atradis
"/ Etc / gshadow–",
kas notiks, ja es to izdzēsīšu
Šis "gshadow" fails arī parādās man un prasa root atļaujas, lai to analizētu ...