ESET heeft 21 kwaadaardige pakketten geïdentificeerd die OpenSSH vervangen

ESET heeft onlangs een bericht geplaatst (53 pagina's PDF) waar het de resultaten toont van een scan van sommige Trojan-pakketten dat hackers werden geïnstalleerd nadat ze Linux-hosts hadden gecompromitteerd.

Deze com een ​​achterdeur achter te laten of wachtwoorden van gebruikers te onderscheppen terwijl u verbinding maakt met andere hosts.

Alle beschouwde varianten van de Trojan-software hebben de OpenSSH-client- of serverprocescomponenten vervangen.

Over gedetecteerde pakketten

De 18 geïdentificeerde opties omvatten functies om invoerwachtwoorden en coderingssleutels te onderscheppen en 17 verstrekte achterdeurfuncties waarmee een aanvaller in het geheim toegang krijgt tot een gehackte host met een vooraf gedefinieerd wachtwoord.

Bovendien lOnderzoekers ontdekten dat een SSH-achterdeur die wordt gebruikt door DarkLeech-operators dezelfde is als die van Carbanak een paar jaar later en die dreigingsactoren een breed spectrum van complexiteit hadden ontwikkeld in backdoor-implementaties, van kwaadaardige programma's die voor het publiek beschikbaar waren. Netwerkprotocollen en voorbeelden.

Hoe was dit mogelijk?

Schadelijke componenten werden ingezet na een succesvolle aanval op het systeem​ aanvallers kregen in de regel toegang via typische wachtwoordselectie of door misbruik te maken van niet-gepatchte kwetsbaarheden in webapplicaties of serverstuurprogramma's, waarna verouderde systemen aanvallen gebruikten om hun privileges te vergroten.

De identificatiegeschiedenis van deze kwaadaardige programma's verdient aandacht.

Tijdens het analyseren van het Windigo-botnet, de onderzoekers aandacht besteed aan de code om ssh te vervangen door Ebury-achterdeur, die voorafgaand aan de lancering de installatie van andere achterdeuren voor OpenSSH verifieerde.

Om concurrerende Trojaanse paarden te identificeren, er is gebruik gemaakt van een lijst van 40 checklists.

Met behulp van deze functies Vertegenwoordigers van ESET ontdekten dat veel van hen voorheen bekende achterdeurtjes niet dekten en toen gingen ze op zoek naar de ontbrekende instanties, onder meer door een netwerk van kwetsbare honeypotservers in te zetten.

Als gevolg hiervan 21 Trojan-pakketvarianten geïdentificeerd als vervanging van SSH, die de afgelopen jaren relevant blijven.

Wat beargumenteren ESET-medewerkers hierover?

De ESET-onderzoekers gaven toe dat ze deze spreads niet uit de eerste hand hadden ontdekt. Die eer gaat naar de makers van een andere Linux-malware genaamd Windigo (ook bekend als Ebury).

ESET zegt dat bij het analyseren van het Windigo-botnet en de centrale Ebury-achterdeur, ze ontdekten dat Ebury een intern mechanisme had dat naar andere lokaal geïnstalleerde OpenSSH-achterdeuren zocht.

De manier waarop het Windigo-team dit deed, zei ESET, was door een Perl-script te gebruiken dat 40 bestandshandtekeningen (hashes) scande.

"Toen we deze handtekeningen onderzochten, realiseerden we ons al snel dat we geen voorbeelden hadden die overeenkwamen met de meeste achterdeurtjes die in het script worden beschreven", zegt Marc-Etienne M. Léveillé, malware-analist van ESET.

"De malware-operators hadden eigenlijk meer kennis en zichtbaarheid van SSH-backdoors dan wij," voegde hij eraan toe.

Het rapport gaat niet in op details over hoe botnet-operators deze OpenSSH-versies installeren op geïnfecteerde hosts.

Maar als we iets hebben geleerd van eerdere rapporten over Linux-malwarebewerkingen, dan is het dat wel Hackers vertrouwen vaak op dezelfde oude technieken om voet aan de grond te krijgen op Linux-systemen:

Brute force of woordenboekaanvallen die proberen SSH-wachtwoorden te raden. Het gebruik van sterke of unieke wachtwoorden of een IP-filtersysteem voor SSH-logins zou dit soort aanvallen moeten voorkomen.

Exploitatie van kwetsbaarheden in applicaties die op de Linux-server draaien (bijvoorbeeld webapplicaties, CMS, etc.).

Als de applicatie / service verkeerd is geconfigureerd met root-toegang of als de aanvaller misbruik maakt van een fout in de escalatie van privileges, kan een veelvoorkomend eerste foutje van verouderde WordPress-plug-ins gemakkelijk worden geëscaleerd naar het onderliggende besturingssysteem.

Door alles up-to-date te houden, moeten zowel het besturingssysteem als de applicaties die erop draaien, dit soort aanvallen voorkomen.

Se ze maakten een script en regels voor antivirus en een dynamische tabel met kenmerken van elk type SSH-trojans.

Betrokken bestanden op Linux

Evenals extra bestanden die in het systeem zijn gemaakt en wachtwoorden voor toegang via de achterdeur, om de OpenSSH-componenten te identificeren die zijn vervangen.

Bv in sommige gevallen, bestanden zoals die worden gebruikt om onderschepte wachtwoorden vast te leggen:

• "/Usr/include/sn.h",
• "/Usr/lib/mozilla/extensions/mozzlia.ini",
• "/Usr/local/share/man/man1/Openssh.1",
• "/ Etc / ssh / ssh_known_hosts2",
• "/Usr/share/boot.sync",
• "/Usr/lib/libpanel.so.a.3",
• "/Usr/lib/libcurl.a.2.1",
• "/ Var / log / utmp",
• "/Usr/share/man/man5/ttyl.5.gz",
• "/Usr/share/man/man0/.cache",
• "/Var/tmp/.pipe.sock",
• "/Etc/ssh/.sshd_auth",
• "/Usr/include/X11/sessmgr/coredump.in",
• «/ Etc / gshadow–«,
• "/Etc/X11/.pr"