Firma ESET zidentyfikowała 21 złośliwych pakietów, które zastępują OpenSSH

Darkcrizt

4 minut

ESET Linux

ESET niedawno opublikował post (53-stronicowy PDF) gdzie pokazuje wyniki skanowania niektórych pakietów trojanów że hakerzy zostali zainstalowani po włamaniu się na hosty Linuksa.

To Cw celu opuszczenia tylnych drzwi lub przechwycenia haseł użytkowników podczas łączenia się z innymi hostami.

Wszystkie rozważane warianty oprogramowania trojańskiego zastąpiły komponenty procesu klienta lub serwera OpenSSH.

Informacje o wykrytych pakietach

Te Zidentyfikowano 18 opcji, w tym funkcje przechwytywania haseł wejściowych i kluczy szyfrujących oraz 17 dostępnych funkcji tylnego wejścia które pozwalają napastnikowi na potajemne uzyskanie dostępu do zhakowanego hosta przy użyciu predefiniowanego hasła.

Ponadto lBadacze odkryli, że backdoor SSH używany przez operatorów DarkLeech jest taki sam, jak ten używany przez Carbanak kilka lat później, a ci aktorzy zagrożeń rozwinęli szerokie spektrum złożoności implementacji backdoorów, począwszy od szkodliwych programów dostępnych publicznie. Protokoły sieciowe i próbki.

Jak to było możliwe?

Szkodliwe komponenty zostały wdrożone po udanym ataku na system; z reguły atakujący uzyskiwali dostęp poprzez typowy wybór haseł lub wykorzystując niezałatane luki w aplikacjach internetowych lub sterownikach serwerów, po czym przestarzałe systemy wykorzystywały ataki w celu zwiększenia swoich uprawnień.

Historia identyfikacji tych szkodliwych programów zasługuje na uwagę.

W trakcie analizy botnetu Windigo badacze zwrócił uwagę na kod zastępujący ssh backdoor'em Ebury, który przed uruchomieniem zweryfikował instalację innych backdoorów dla OpenSSH.

Aby zidentyfikować konkurencyjne trojany, wykorzystano listę 40 list kontrolnych.

Korzystając z tych funkcji, Przedstawiciele firmy ESET stwierdzili, że wiele z nich nie obejmowało znanych wcześniej tylnych drzwi a potem zaczęli szukać brakujących instancji, włączając w to wdrażanie sieci podatnych na ataki serwerów honeypot.

W rezultacie 21 wariantów pakietów trojańskich zidentyfikowanych jako zastępujące SSH, które pozostają aktualne w ostatnich latach.

Linux_Bezpieczeństwo

Co spierają się pracownicy firmy ESET w tej sprawie?

Naukowcy z ESET przyznali, że nie odkryli tych rozprzestrzeniania się na własnej skórze. Ten zaszczyt przypada twórcom innego szkodliwego oprogramowania dla Linuksa o nazwie Windigo (aka Ebury).

ESET twierdzi, że podczas analizy botnetu Windigo i jego centralnego backdoora Ebury, odkryli, że Ebury miał wewnętrzny mechanizm, który szukał innych lokalnie zainstalowanych tylnych drzwi OpenSSH.

ESET powiedział, że sposób, w jaki zespół Windigo to zrobił, polegał na użyciu skryptu Perla, który przeskanował 40 sygnatur plików (skrótów).

„Kiedy zbadaliśmy te sygnatury, szybko zdaliśmy sobie sprawę, że nie mamy próbek, które pasowałyby do większości tylnych drzwi opisanych w skrypcie” - powiedział Marc-Etienne M. Léveillé, analityk szkodliwego oprogramowania w firmie ESET.

„Operatorzy złośliwego oprogramowania faktycznie mieli większą wiedzę i widoczność na temat backdoorów SSH niż my” - dodał.

Raport nie zawiera szczegółowych informacji na temat sposobu, w jaki operatorzy botnetów umieszczają te wersje OpenSSH na zainfekowanych hostach.

Ale jeśli dowiedzieliśmy się czegoś z poprzednich raportów na temat operacji złośliwego oprogramowania w Linuksie, to to Hakerzy często polegają na tych samych starych technikach, aby zdobyć przyczółek w systemach Linux:

Ataki siłowe lub słownikowe polegające na odgadywaniu haseł SSH. Używanie silnych lub unikatowych haseł lub systemu filtrowania adresów IP do logowania SSH powinno zapobiegać tego typu atakom.

Wykorzystywanie luk w aplikacjach działających na serwerze Linux (na przykład aplikacje internetowe, CMS itp.).

Jeśli aplikacja / usługa została błędnie skonfigurowana z dostępem roota lub jeśli osoba atakująca wykorzysta lukę w eskalacji uprawnień, typową początkową wadę przestarzałych wtyczek WordPress można łatwo eskalować do podstawowego systemu operacyjnego.

Utrzymywanie aktualności wszystkiego, zarówno systemu operacyjnego, jak i aplikacji, które na nim działają, powinno zapobiegać tego typu atakom.

Se przygotowali skrypt i reguły dla programu antywirusowego oraz dynamiczną tabelę z charakterystyką każdego typu trojanów SSH.

Dotyczy plików w systemie Linux

Oprócz dodatkowych plików utworzonych w systemie i haseł dostępu przez tylne drzwi, w celu zidentyfikowania komponentów OpenSSH, które zostały wymienione.

Np. w niektórych przypadkach pliki, takie jak te używane do rejestrowania przechwyconych haseł:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etc / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Etc / gshadow–«,
  • „/Etc/X11/.pr”

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: AB Internet Networks 2008 SL
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   nick89 powiedział
    temu 5 roku

    interesujący artykuł
    przeszukuj jeden po drugim w katalogach i znajdź jeden
    "/ Etc / gshadow–",
    co się stanie, jeśli go usunę

    Odpowiedz nickd89
  2.   Jorge powiedział
    temu 5 roku

    Ten plik „gshadow” również pojawia się i prosi o uprawnienia administratora do jego analizy ...

    Odpowiedz Jorge