ESET mengenal pasti 21 pakej jahat yang menggantikan OpenSSH

Darkcrizt

Minit 4

ESET Linux

ESET baru-baru ini membuat catatan (53 halaman PDF) di mana ia menunjukkan hasil imbasan beberapa pakej Trojan bahawa penggodam dipasang setelah menjejaskan hos Linux.

Ini cuntuk meninggalkan pintu belakang atau memintas kata laluan pengguna semasa menyambung ke hos lain.

Semua varian perisian Trojan yang dipertimbangkan menggantikan komponen proses pelanggan atau pelayan OpenSSH.

Mengenai paket yang dikesan

yang 18 pilihan yang dikenal pasti termasuk fungsi untuk memintas kata laluan input dan kunci penyulitan dan 17 fungsi pintu belakang yang disediakan yang membolehkan penyerang secara rahsia mendapatkan akses ke host yang diretas menggunakan kata laluan yang telah ditentukan.

Selanjutnya, lPara penyelidik mendapati bahawa pintu belakang SSH yang digunakan oleh pengendali DarkLeech adalah sama dengan yang digunakan oleh Carbanak beberapa tahun kemudian dan pelaku ancaman itu telah mengembangkan kerumitan yang luas dalam pelaksanaan pintu belakang, dari program jahat yang tersedia untuk umum. Protokol dan sampel rangkaian.

Bagaimana ini boleh berlaku?

Komponen berbahaya dikerahkan setelah berjaya menyerang sistem; sebagai peraturan, penyerang memperoleh akses melalui pemilihan kata laluan khas atau dengan memanfaatkan kerentanan yang tidak dapat ditandingi dalam aplikasi web atau pemacu pelayan, setelah itu sistem yang ketinggalan zaman menggunakan serangan untuk meningkatkan hak istimewa mereka.

Sejarah pengenalpastian program berbahaya ini perlu diberi perhatian.

Dalam proses menganalisis botnet Windigo, para penyelidik memperhatikan kod untuk menggantikan ssh dengan pintu belakang Ebury, yang sebelum dilancarkan, mengesahkan pemasangan ruang belakang lain untuk OpenSSH.

Untuk mengenal pasti Trojan yang bersaing, senarai 40 senarai semak telah digunakan.

Menggunakan fungsi ini, Wakil ESET mendapati bahawa kebanyakan daripada mereka tidak menutup pintu belakang yang diketahui sebelumnya dan kemudian mereka mula mencari kejadian yang hilang, termasuk dengan menggunakan rangkaian pelayan honeypot yang rentan.

Akibatnya, 21 varian paket Trojan yang dikenal pasti menggantikan SSH, yang masih relevan dalam beberapa tahun kebelakangan.

Linux_Security

Apa pendapat pegawai ESET mengenai perkara itu?

Para penyelidik ESET mengakui bahawa mereka tidak menemui penyebaran ini secara langsung. Penghormatan itu diberikan kepada pencipta malware Linux lain yang disebut Windigo (aka Ebury).

ESET mengatakan bahawa semasa menganalisis botnet Windigo dan pintu belakang pusat Ebury, mereka mendapati bahawa Ebury mempunyai mekanisme dalaman yang mencari pintu belakang OpenSSH yang dipasang secara tempatan.

Cara pasukan Windigo melakukan ini, kata ESET, adalah dengan menggunakan skrip Perl yang mengimbas 40 tandatangan fail (hash).

"Semasa kami memeriksa tanda tangan ini, kami dengan cepat menyedari bahawa kami tidak mempunyai sampel yang sesuai dengan kebanyakan pintu belakang yang dijelaskan dalam skrip," kata Marc-Etienne M. Léveillé, penganalisis malware ESET.

"Pengendali perisian hasad sebenarnya mempunyai lebih banyak pengetahuan dan keterlihatan SSH di luar rumah daripada kami," tambahnya.

Laporan ini tidak menjelaskan secara terperinci mengenai bagaimana pengendali botnet menanam versi OpenSSH ini pada tuan rumah yang dijangkiti.

Tetapi jika kita telah mengetahui apa-apa dari laporan sebelumnya mengenai operasi malware Linux, itu saja Peretas sering bergantung pada teknik lama yang sama untuk mendapatkan pijakan pada sistem Linux:

Serangan kasar atau kamus yang cuba meneka kata laluan SSH. Menggunakan kata laluan yang kuat atau unik atau sistem penyaringan IP untuk log masuk SSH harus mengelakkan jenis serangan ini.

Eksploitasi kerentanan dalam aplikasi yang berjalan di pelayan Linux (contohnya, aplikasi web, CMS, dll.).

Sekiranya aplikasi / perkhidmatan salah dikonfigurasi dengan akses root atau jika penyerang mengeksploitasi kekurangan eskalasi hak istimewa, kelemahan awal plugin WordPress yang ketinggalan zaman dapat dengan mudah diteruskan ke sistem operasi yang mendasari.

Dengan memperbaharui segala-galanya, sistem operasi dan aplikasi yang berjalan di dalamnya harus mencegah serangan jenis ini.

Se mereka menyiapkan skrip dan peraturan untuk antivirus dan jadual dinamik dengan ciri-ciri setiap jenis Trojan SSH.

Fail yang terjejas di Linux

Serta fail tambahan yang dibuat dalam sistem dan kata laluan untuk akses melalui pintu belakang, untuk mengenal pasti komponen OpenSSH yang telah diganti.

Contohnya dalam beberapa kes, fail seperti yang digunakan untuk merakam kata laluan yang dipintas:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Dll / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Dll / gshadow–«,
  • "/Etc/X11/.pr"

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   nama samaran89 kata
    membuat 5 tahun

    artikel menarik
    cari satu persatu di direktori dan cari satu
    "/ Dll / gshadow–",
    apa yang akan berlaku sekiranya saya menghapusnya

    Balas nickd89
  2.   Jorge kata
    membuat 5 tahun

    Fail "gshadow" itu juga muncul kepada saya dan meminta kebenaran root untuk menganalisisnya ...

    Balas Jorge