ESET identifiserte 21 ondsinnede pakker som erstatter OpenSSH

Darkcrizt

4 minutter

ESET Linux

ESET laget nylig et innlegg (53 sider PDF) der det viser resultatene av en skanning av noen Trojan-pakker at hackere ble installert etter å ha kompromittert Linux-verter.

Dette cfor å legge igjen en bakdør eller avskjære brukerpassord mens du kobler deg til andre verter.

Alle betraktede varianter av Trojan-programvaren erstattet OpenSSH-klient- eller serverproseskomponenter.

Om oppdagede pakker

Las 18 identifiserte alternativer inkluderte funksjoner for å avskjære inngangspassord og krypteringsnøkler og 17 tilbys bakdørfunksjoner som lar en angriper i hemmelighet få tilgang til en hacket vert ved hjelp av et forhåndsdefinert passord.

Videre lForskere oppdaget at en SSH-bakdør som brukes av DarkLeech-operatører, er den samme som den som brukes av Carbanak noen år senere, og at trusselaktører hadde utviklet et bredt spekter av kompleksitet i bakdørimplementeringer, fra ondsinnede programmer tilgjengelig for publikum. Nettverksprotokoller og prøver.

Hvordan var dette mulig?

Ondsinnede komponenter ble distribuert etter et vellykket angrep på systemet; som regel fikk angripere tilgang gjennom typisk passordvalg eller ved å utnytte upakkede sårbarheter i webapplikasjoner eller serverdrivere, hvoretter utdaterte systemer brukte angrep for å øke deres rettigheter.

Identifikasjonshistorikken til disse ondsinnede programmene fortjener oppmerksomhet.

I prosessen med å analysere Windigo botnet, forskerne la merke til koden for å erstatte ssh med Ebury bakdør, som før lanseringen bekreftet installasjonen av andre bakdører for OpenSSH.

For å identifisere konkurrerende trojanere, en liste med 40 sjekklister ble brukt.

Ved hjelp av disse funksjonene, ESET-representanter fant at mange av dem ikke dekket tidligere kjente bakdører og så begynte de å lete etter de manglende forekomster, blant annet ved å distribuere et nettverk av sårbare honeypot-servere.

Som et resultat 21 Trojan-pakkevarianter identifisert som erstatning for SSH, som fortsatt er relevante de siste årene.

Linux_Sikkerhet

Hva argumenterer ESET-ansatte for?

ESET-forskerne innrømmet at de ikke oppdaget disse oppslagene fra første hånd. Den æren kommer til skaperne av en annen Linux-malware kalt Windigo (aka Ebury).

ESET sier at mens man analyserte Windigo botnet og dets sentrale Ebury bakdør, de fant ut at Ebury hadde en intern mekanisme som lette etter andre lokalt installerte OpenSSH bakdører.

Måten Windigo-teamet gjorde dette, sa ESET, ved å bruke et Perl-skript som skannet 40 filsignaturer (hashes).

"Da vi undersøkte disse signaturene, innså vi raskt at vi ikke hadde noen prøver som samsvarte med de fleste bakdørene som er beskrevet i manuset," sa Marc-Etienne M. Léveillé, ESET malware-analytiker.

"Operatørene av skadelig programvare hadde faktisk mer kunnskap og synlighet om SSH-bakdører enn vi gjorde," la han til.

Rapporten går ikke inn på detaljer om hvordan botnetoperatører planter disse OpenSSH-versjonene på infiserte verter.

Men hvis vi har lært noe fra tidligere rapporter om Linux-skadedrift, er det det Hackere stoler ofte på de samme gamle teknikkene for å få fotfeste på Linux-systemer:

Brute force eller ordbokangrep som prøver å gjette SSH-passord. Bruk av sterke eller unike passord eller et IP-filtreringssystem for SSH-pålogginger skal forhindre denne typen angrep.

Utnyttelse av sårbarheter i applikasjoner som kjører på Linux-serveren (for eksempel webapplikasjoner, CMS, etc.).

Hvis applikasjonen / tjenesten er feilkonfigurert med rottilgang, eller hvis angriperen utnytter en eskaleringsfeil med privilegier, kan en vanlig innledende feil med utdaterte WordPress-plugins lett eskaleres til det underliggende operativsystemet.

Å holde alt oppdatert, både operativsystemet og applikasjonene som kjører på det, bør forhindre denne typen angrep.

Se de utarbeidet et skript og regler for antivirus og en dynamisk tabell med egenskaper for hver type SSH-trojanere.

Berørte filer på Linux

I tillegg til flere filer som er opprettet i systemet og passord for tilgang gjennom bakdøren, for å identifisere OpenSSH-komponentene som er byttet ut.

Eg i noen tilfeller filer som de som brukes til å registrere passord som er fanget opp:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etc / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Etc / gshadow–«,
  • "/Etc/X11/.pr"

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: AB Internet Networks 2008 SL
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   nickd89 sa
    hace 5 år

    interessant artikkel
    søk en etter en i kataloger og fant en
    "/ Etc / gshadow–",
    hva vil skje hvis jeg sletter det

    Svar på nickd89
  2.   Jorge sa
    hace 5 år

    Den "gshadow" -filen vises også for meg og ber om rottillatelser for å analysere den ...

    Svar til Jorge