ESET niedawno opublikował post (53-stronicowy PDF) gdzie pokazuje wyniki skanowania niektórych pakietów trojanów że hakerzy zostali zainstalowani po włamaniu się na hosty Linuksa.
To Cw celu opuszczenia tylnych drzwi lub przechwycenia haseł użytkowników podczas łączenia się z innymi hostami.
Wszystkie rozważane warianty oprogramowania trojańskiego zastąpiły komponenty procesu klienta lub serwera OpenSSH.
Informacje o wykrytych pakietach
Te Zidentyfikowano 18 opcji, w tym funkcje przechwytywania haseł wejściowych i kluczy szyfrujących oraz 17 dostępnych funkcji tylnego wejścia które pozwalają napastnikowi na potajemne uzyskanie dostępu do zhakowanego hosta przy użyciu predefiniowanego hasła.
Ponadto lBadacze odkryli, że backdoor SSH używany przez operatorów DarkLeech jest taki sam, jak ten używany przez Carbanak kilka lat później, a ci aktorzy zagrożeń rozwinęli szerokie spektrum złożoności implementacji backdoorów, począwszy od szkodliwych programów dostępnych publicznie. Protokoły sieciowe i próbki.
Jak to było możliwe?
Szkodliwe komponenty zostały wdrożone po udanym ataku na system; z reguły atakujący uzyskiwali dostęp poprzez typowy wybór haseł lub wykorzystując niezałatane luki w aplikacjach internetowych lub sterownikach serwerów, po czym przestarzałe systemy wykorzystywały ataki w celu zwiększenia swoich uprawnień.
Historia identyfikacji tych szkodliwych programów zasługuje na uwagę.
W trakcie analizy botnetu Windigo badacze zwrócił uwagę na kod zastępujący ssh backdoor'em Ebury, który przed uruchomieniem zweryfikował instalację innych backdoorów dla OpenSSH.
Aby zidentyfikować konkurencyjne trojany, wykorzystano listę 40 list kontrolnych.
Korzystając z tych funkcji, Przedstawiciele firmy ESET stwierdzili, że wiele z nich nie obejmowało znanych wcześniej tylnych drzwi a potem zaczęli szukać brakujących instancji, włączając w to wdrażanie sieci podatnych na ataki serwerów honeypot.
W rezultacie 21 wariantów pakietów trojańskich zidentyfikowanych jako zastępujące SSH, które pozostają aktualne w ostatnich latach.
Co spierają się pracownicy firmy ESET w tej sprawie?
Naukowcy z ESET przyznali, że nie odkryli tych rozprzestrzeniania się na własnej skórze. Ten zaszczyt przypada twórcom innego szkodliwego oprogramowania dla Linuksa o nazwie Windigo (aka Ebury).
ESET twierdzi, że podczas analizy botnetu Windigo i jego centralnego backdoora Ebury, odkryli, że Ebury miał wewnętrzny mechanizm, który szukał innych lokalnie zainstalowanych tylnych drzwi OpenSSH.
ESET powiedział, że sposób, w jaki zespół Windigo to zrobił, polegał na użyciu skryptu Perla, który przeskanował 40 sygnatur plików (skrótów).
„Kiedy zbadaliśmy te sygnatury, szybko zdaliśmy sobie sprawę, że nie mamy próbek, które pasowałyby do większości tylnych drzwi opisanych w skrypcie” - powiedział Marc-Etienne M. Léveillé, analityk szkodliwego oprogramowania w firmie ESET.
„Operatorzy złośliwego oprogramowania faktycznie mieli większą wiedzę i widoczność na temat backdoorów SSH niż my” - dodał.
Raport nie zawiera szczegółowych informacji na temat sposobu, w jaki operatorzy botnetów umieszczają te wersje OpenSSH na zainfekowanych hostach.
Ale jeśli dowiedzieliśmy się czegoś z poprzednich raportów na temat operacji złośliwego oprogramowania w Linuksie, to to Hakerzy często polegają na tych samych starych technikach, aby zdobyć przyczółek w systemach Linux:
Ataki siłowe lub słownikowe polegające na odgadywaniu haseł SSH. Używanie silnych lub unikatowych haseł lub systemu filtrowania adresów IP do logowania SSH powinno zapobiegać tego typu atakom.
Wykorzystywanie luk w aplikacjach działających na serwerze Linux (na przykład aplikacje internetowe, CMS itp.).
Jeśli aplikacja / usługa została błędnie skonfigurowana z dostępem roota lub jeśli osoba atakująca wykorzysta lukę w eskalacji uprawnień, typową początkową wadę przestarzałych wtyczek WordPress można łatwo eskalować do podstawowego systemu operacyjnego.
Utrzymywanie aktualności wszystkiego, zarówno systemu operacyjnego, jak i aplikacji, które na nim działają, powinno zapobiegać tego typu atakom.
Se przygotowali skrypt i reguły dla programu antywirusowego oraz dynamiczną tabelę z charakterystyką każdego typu trojanów SSH.
Dotyczy plików w systemie Linux
Oprócz dodatkowych plików utworzonych w systemie i haseł dostępu przez tylne drzwi, w celu zidentyfikowania komponentów OpenSSH, które zostały wymienione.
Np. w niektórych przypadkach pliki, takie jak te używane do rejestrowania przechwyconych haseł:
- "/Usr/include/sn.h",
- "/Usr/lib/mozilla/extensions/mozzlia.ini",
- "/Usr/local/share/man/man1/Openssh.1",
- "/ Etc / ssh / ssh_known_hosts2",
- "/Usr/share/boot.sync",
- "/Usr/lib/libpanel.so.a.3",
- "/Usr/lib/libcurl.a.2.1",
- "/ Var / log / utmp",
- "/Usr/share/man/man5/ttyl.5.gz",
- "/Usr/share/man/man0/.cache",
- "/Var/tmp/.pipe.sock",
- "/Etc/ssh/.sshd_auth",
- "/Usr/include/X11/sessmgr/coredump.in",
- «/ Etc / gshadow–«,
- „/Etc/X11/.pr”
interesujący artykuł
przeszukuj jeden po drugim w katalogach i znajdź jeden
"/ Etc / gshadow–",
co się stanie, jeśli go usunę
Ten plik „gshadow” również pojawia się i prosi o uprawnienia administratora do jego analizy ...