ईएसईटीने अलीकडे एक पोस्ट केले (53 पृष्ठ पीडीएफ) जिथे ते काही ट्रोजन पॅकेजेसच्या स्कॅनचे परिणाम दर्शविते लिनक्स यजमानांशी तडजोड केल्यावर हॅकर्स स्थापित केले गेले.
या सीमागील दरवाजा सोडण्यासाठी किंवा वापरकर्ता संकेतशब्द खंडित करण्यासाठी इतर होस्टशी कनेक्ट करताना.
ट्रोजन सॉफ्टवेअरच्या सर्व मानल्या गेलेल्या रूपांनी ओपनएसएच क्लाएंट किंवा सर्व्हर प्रक्रिया घटक पुनर्स्थित केले.
आढळलेल्या पॅकेट बद्दल
अगोदर निर्देश केलेल्या बाबीसंबंधी बोलताना ओळखल्या गेलेल्या 18 पर्यायांमध्ये इनपुट संकेतशब्द आणि कूटबद्धीकरण की आणि 17 प्रदान केलेल्या बॅकडोर फंक्शन्समध्ये व्यत्यय आणण्याची कार्ये समाविष्ट आहेत हे आक्रमणकर्त्यास पूर्वनिर्धारित संकेतशब्द वापरुन हॅक होस्टवर गुप्तपणे प्रवेश मिळवू देते.
शिवाय, एलसंशोधकांना असे आढळले आहे की डार्कलिच ऑपरेटरद्वारे वापरलेला एसएसएच बॅकडोर कार्बनकद्वारे वापरल्या जाणारा समान आहे काही वर्षांनंतर आणि त्या धमकी देणा actors्या कलाकारांनी दुर्भावनापूर्ण प्रोग्राम पासून, लोकांना उपलब्ध असलेल्या बॅकडोर अंमलबजावणीमध्ये व्यापक गुंतागुंत विकसित केली होती. नेटवर्क प्रोटोकॉल आणि नमुने.
हे कसे शक्य होते?
सिस्टमवरील यशस्वी हल्ल्यानंतर दुर्भावनायुक्त घटक तैनात केले होते; नियमानुसार, आक्रमणकर्त्यांनी ठराविक संकेतशब्द निवडीद्वारे किंवा वेब अनुप्रयोगांमध्ये किंवा सर्व्हर ड्रायव्हर्समध्ये अतुलनीय असुरक्षा शोषण करून प्रवेश मिळविला, ज्यानंतर कालबाह्य सिस्टमने त्यांचे विशेषाधिकार वाढविण्यासाठी हल्ल्यांचा वापर केला.
या दुर्भावनापूर्ण प्रोग्रामचा ओळख इतिहास लक्ष देण्यास पात्र आहे.
विंडीगो बॉटनेटचे विश्लेषण करण्याच्या प्रक्रियेत, संशोधक एबरी बॅकडोरसह ssh पुनर्स्थित करण्यासाठी कोडकडे लक्ष दिले, जे लॉन्च होण्यापूर्वी, ओपनएसएचसाठी इतर बॅकडोरची स्थापना सत्यापित केली.
स्पर्धक ट्रोजन ओळखण्यासाठी, 40 चेकलिस्टची यादी वापरली गेली.
ही फंक्शन्स वापरुन, ईएसईटीच्या प्रतिनिधींना आढळले की त्यापैकी बर्याच जणांनी मागील ज्ञात दारे झाकलेले नाहीत आणि मग त्यांनी असुरक्षित हनीपॉट सर्व्हरचे नेटवर्क उपयोजित करून गहाळ उदाहरणे शोधण्यास सुरवात केली.
परिणामी, एसएसएच बदलून म्हणून ओळखले जाणारे 21 ट्रोजन पॅकेज रूपे, जे अलिकडच्या वर्षांत संबंधित राहते.
ईएसईटी कर्मचारी या विषयावर काय युक्तिवाद करतात?
ईएसईटीच्या संशोधकांनी कबूल केले की त्यांना हा प्रसार प्रथमच सापडला नाही. हा सन्मान विन्डिगो (उर्फ एबरी) नावाच्या दुसर्या लिनक्स मालवेयरच्या निर्मात्यांना जातो.
ईएसईटी म्हणते की विंडीगो बॉटनेट आणि त्याच्या मध्य एबरी बॅकडोरचे विश्लेषण करताना, त्यांना असे आढळले की एबरीकडे अंतर्गत यंत्रणा आहे जी स्थानिक पातळीवर स्थापित ओपनएसएच मागील दरवाजे शोधत होती.
विन्डिगो संघाने ज्या प्रकारे हे केले, ईएसईटीने म्हटले आहे की पर्ल स्क्रिप्ट वापरुन 40 फाईल स्वाक्षरी (हॅश) स्कॅन केली गेली.
ईएसईटी मालवेयर विश्लेषक मार्क-एटिएन एम. लव्हिली म्हणाले, “जेव्हा आम्ही या सह्यांची तपासणी केली तेव्हा आम्हाला पटकन कळले की आमच्याकडे स्क्रिप्टमध्ये वर्णन केलेल्या मागील दरवाजाशी जुळणारे कोणतेही नमुने नाहीत.
“मालवेयर ऑपरेटर्सना आमच्यापेक्षा एसएसएचच्या घरामागील जागी अधिक ज्ञान आणि दृश्यमानता होती,” ते पुढे म्हणाले.
या ओपनएसएच आवृत्त्या बॉटनेट ऑपरेटर कशा लावतात यासंबंधीचा अहवाल अहवालात नाही संक्रमित यजमानांवर
परंतु जर आम्ही लिनक्स मालवेयर ऑपरेशन्सवरील मागील अहवालांमधून काही शिकले असेल तर तेच आहे लिनक्स सिस्टमवर पाय ठेवण्यासाठी हॅकर्स बहुधा त्याच जुन्या तंत्रावर अवलंबून असतात:
क्रूर शक्ती किंवा शब्दकोश हल्ला जे एसएसएच संकेतशब्दांचा अंदाज लावण्याचा प्रयत्न करतात. एसएसएच लॉगिनसाठी सशक्त किंवा अद्वितीय संकेतशब्द किंवा आयपी फिल्टरिंग सिस्टम वापरल्याने या प्रकारच्या हल्ल्यांना प्रतिबंधित केले जावे.
लिनक्स सर्व्हरवर चालणार्या अनुप्रयोगांमधील असुरक्षांचे शोषण (उदाहरणार्थ, वेब अनुप्रयोग, सीएमएस इ.)
जर रूट प्रवेशासह अनुप्रयोग / सेवेची चुकीची कॉन्फिगरिंग केली गेली असेल किंवा आक्रमणकर्त्याने विशेषाधिकार वाढीच्या त्रुटीचा गैरफायदा घेतला असेल तर, कालबाह्य वर्डप्रेस प्लगइनचा सामान्य प्रारंभिक दोष सहजपणे अंतर्निहित ऑपरेटिंग सिस्टममध्ये वाढविला जाऊ शकतो.
सर्व काही अद्ययावत ठेवणे, ऑपरेटिंग सिस्टम आणि त्यावरील अनुप्रयोग या दोन्ही गोष्टींनी या प्रकारचा हल्ला रोखला पाहिजे.
Se त्यांनी अँटीव्हायरससाठी स्क्रिप्ट आणि नियम तयार केले आणि एसएसएच ट्रोजन्सच्या प्रत्येक प्रकारच्या वैशिष्ट्यांसह डायनॅमिक टेबल तयार केले.
लिनक्स वरील फायली प्रभावित
तसेच सिस्टममध्ये तयार केलेल्या अतिरिक्त फाईल्स आणि मागील दरवाजाद्वारे प्रवेश करण्यासाठी संकेतशब्द, पुनर्स्थित केलेले ओपनएसएसएच घटक ओळखण्यासाठी.
उदाहरणार्थ, काही बाबतींत, इंटरसेप्ट केलेले संकेतशब्द रेकॉर्ड करण्यासाठी वापरल्या जाणार्या फायली:
- "/Usr/incolve/sn.h",
- "/Usr/lib/mozilla/extensions/mozzlia.ini",
- "/ यूएसआर / लोकल / शेरे / मॅन / मॅन 1 / ओपेन्स .1",
- "/ वगैरे / एसएसएस / एसएस_अज्ञात_होस्ट 2",
- "/Usr/share/boot.sync",
- "/Usr/lib/libpanel.so.a.3",
- "/Usr/lib/libcurl.a.2.1",
- "/ वार / लॉग / utmp",
- "/ यूएसआर / शेरे / मॅन / मॅन / / सट्टा .5.gz",
- "/Usr/share/man/man0/.cache",
- "/Var/tmp/.pipe.sock",
- "/Etc/ssh/.sshd_auth",
- "/ यूएसआर / समावेश / एक्स 11/sessmgr/coredump.in",
- «/ वगैरे / गशाडो –,
- "/Etc/X11/.pr"
मनोरंजक लेख
डिरेक्टरीमध्ये एक-एक करून शोधा आणि एक सापडला
"/ वगैरे / gshadow–",
मी हे हटवले तर काय होईल
ती "गशाडो" फाईल देखील मला दिसते आणि त्याचे विश्लेषण करण्यासाठी रूट परवानग्या विचारतो ...