ESET identificou 21 pacotes maliciosos que substituem OpenSSH

Darkcrizt

Minutos 4

ESET Linux

ESET recentemente fez uma postagem (PDF de 53 páginas) onde mostra os resultados de uma verificação de alguns pacotes de Trojan que os hackers foram instalados após comprometer os hosts Linux.

Este ca fim de deixar uma porta dos fundos ou interceptar senhas de usuário enquanto se conecta a outros hosts.

Todas as variantes consideradas do software Trojan substituíram os componentes do processo cliente ou servidor OpenSSH.

Sobre pacotes detectados

Os 18 opções identificadas incluíram funções para interceptar senhas de entrada e chaves de criptografia e 17 funções backdoor fornecidas que permitem que um invasor obtenha acesso secreto a um host invadido usando uma senha predefinida.

Além disso, lOs pesquisadores descobriram que um backdoor SSH usado por operadores DarkLeech é o mesmo usado por Carbanak alguns anos depois, os agentes de ameaças desenvolveram um amplo espectro de complexidade em implementações de backdoor, de programas mal-intencionados disponíveis ao público. Protocolos de rede e amostras.

Como isso foi possível?

Componentes maliciosos foram implantados após um ataque bem-sucedido ao sistema; como regra, os invasores obtêm acesso por meio de uma seleção típica de senha ou explorando vulnerabilidades não corrigidas em aplicativos da Web ou drivers de servidor, após o que sistemas desatualizados usam ataques para aumentar seus privilégios.

O histórico de identificação desses programas maliciosos merece atenção.

No processo de análise do botnet Windigo, os pesquisadores prestou atenção ao código para substituir ssh por backdoor Ebury, que antes do lançamento, verificou a instalação de outros backdoors para OpenSSH.

Para identificar cavalos de Troia concorrentes, uma lista de 40 listas de verificação foi usada.

Usando essas funções, Os representantes da ESET descobriram que muitos deles não cobriam portas traseiras conhecidas anteriormente e então eles começaram a procurar as instâncias ausentes, incluindo a implantação de uma rede de servidores honeypot vulneráveis.

Como resultado, 21 variantes do pacote de Trojan identificadas como substitutas do SSH, que permanecem relevantes nos últimos anos.

Linux_Segurança

O que a equipe da ESET argumenta sobre o assunto?

Os pesquisadores da ESET admitiram que não descobriram esses spreads em primeira mão. Essa honra vai para os criadores de outro malware Linux chamado Windigo (também conhecido como Ebury).

A ESET diz que ao analisar o botnet Windigo e seu backdoor central Ebury, eles descobriram que a Ebury tinha um mecanismo interno que procurava outras portas traseiras do OpenSSH instaladas localmente.

A forma como a equipe do Windigo fez isso, disse a ESET, foi usando um script Perl que verificou 40 assinaturas de arquivo (hashes).

"Quando examinamos essas assinaturas, percebemos rapidamente que não tínhamos amostras que correspondessem à maioria das portas dos fundos descritas no script", disse Marc-Etienne M. Léveillé, analista de malware da ESET.

“Na verdade, os operadores de malware tinham mais conhecimento e visibilidade dos backdoors SSH do que nós”, acrescentou.

O relatório não entra em detalhes sobre como os operadores de botnet plantam essas versões OpenSSH em hospedeiros infectados.

Mas se aprendemos alguma coisa com relatórios anteriores sobre operações de malware do Linux, é que Os hackers geralmente contam com as mesmas técnicas antigas para se firmar nos sistemas Linux:

Ataques de força bruta ou de dicionário que tentam adivinhar as senhas SSH. O uso de senhas fortes ou exclusivas ou um sistema de filtragem de IP para logins SSH deve evitar esses tipos de ataques.

Exploração de vulnerabilidades em aplicativos executados no servidor Linux (por exemplo, aplicativos da web, CMS, etc.).

Se o aplicativo / serviço tiver sido configurado incorretamente com acesso root ou se o invasor explorar uma falha de escalonamento de privilégios, uma falha inicial comum de plug-ins desatualizados do WordPress pode ser facilmente escalada para o sistema operacional subjacente.

Manter tudo atualizado, tanto o sistema operacional quanto os aplicativos que nele rodam, devem evitar esse tipo de ataque.

Se eles prepararam um script e regras para antivírus e uma tabela dinâmica com características de cada tipo de Trojans SSH.

Arquivos afetados no Linux

Bem como arquivos adicionais criados no sistema e senhas para acesso pela porta dos fundos, para identificar os componentes OpenSSH que foram substituídos.

Por exemplo em alguns casos, arquivos como aqueles usados ​​para registrar senhas interceptadas:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etc / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Etc / gshadow–«,
  • "/Etc/X11/.pr"

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: AB Internet Networks 2008 SL
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   Nickd89 dito
    atrás Anos 5

    artigo interessante
    procure um por um nos diretórios e encontre um
    "/ Etc / gshadow–",
    o que vai acontecer se eu deletar

    Responder a Nickd89
  2.   Jorge dito
    atrás Anos 5

    Esse arquivo "gshadow" também aparece para mim e pede permissões de root para analisá-lo ...

    Responder ao Jorge