ESET a identificat 21 de pachete rău intenționate care înlocuiesc OpenSSH

Darkcrizt

Minute 4

ESET Linux

ESET a făcut recent o postare (PDF de 53 pagini) unde arată rezultatele unei scanări a unor pachete troiene că hackerii au fost instalați după ce au compromis gazdele Linux.

Acest cpentru a lăsa o ușă din spate sau a intercepta parolele utilizatorului în timp ce vă conectați la alte gazde.

Toate variantele considerate ale software-ului troian au înlocuit componentele procesului clientului sau serverului OpenSSH.

Despre pachetele detectate

Las 18 opțiuni identificate includeau funcții de interceptare a parolelor de intrare și chei de criptare și 17 funcții de backdoor furnizate care permit unui atacator să obțină în secret accesul la o gazdă piratată folosind o parolă predefinită.

Mai mult, lCercetătorii au descoperit că un backdoor SSH utilizat de operatorii DarkLeech este același cu cel folosit de Carbanak câțiva ani mai târziu și că actorii de amenințare au dezvoltat un spectru larg de complexitate în implementările backdoor, de la programe rău intenționate disponibile publicului. Protocoale și probe de rețea.

Cum a fost posibil acest lucru?

Componentele rău intenționate au fost desfășurate după un atac reușit asupra sistemului; de regulă, atacatorii au obținut acces prin selectarea tipică a parolei sau prin exploatarea vulnerabilităților neperectate în aplicațiile web sau driverele de server, după care sistemele învechite au folosit atacuri pentru a-și spori privilegiile.

Istoricul identificării acestor programe rău intenționate merită atenție.

În procesul de analiză a botnetului Windigo, cercetătorii a acordat atenție codului pentru a înlocui ssh cu Ebury backdoor, care înainte de lansare, a verificat instalarea altor backdoors pentru OpenSSH.

Pentru a identifica troienii concurenți, a fost utilizată o listă de 40 de liste de verificare.

Folosind aceste funcții, Reprezentanții ESET au constatat că mulți dintre ei nu acopereau ușile din spate cunoscute anterior și apoi au început să caute instanțele lipsă, inclusiv prin implementarea unei rețele de servere vulnerabile pentru honeypot.

Ca urmare, 21 de variante de pachete troiene identificate ca înlocuind SSH, care rămân relevante în ultimii ani.

Linux_Securitate

Ce argumentează personalul ESET în această privință?

Cercetătorii ESET au recunoscut că nu au descoperit aceste spread-uri direct. Această onoare revine creatorilor unui alt malware Linux numit Windigo (alias Ebury).

ESET spune că, în timp ce analizează botnet-ul Windigo și ușa centrală din spate Ebury, au descoperit că Ebury avea un mecanism intern care căuta alte uși din spate OpenSSH instalate local.

Modul în care echipa Windigo a făcut acest lucru, a spus ESET, a fost prin utilizarea unui script Perl care a scanat 40 de semnături de fișiere (hash-uri).

„Când am examinat aceste semnături, ne-am dat seama rapid că nu avem mostre care să corespundă majorității ușilor din spate descrise în scenariu”, a spus Marc-Etienne M. Léveillé, analist ESET pentru malware.

„Operatorii de programe malware aveau de fapt mai multe cunoștințe și vizibilitate despre portierele SSH decât noi”, a adăugat el.

Raportul nu intră în detalii cu privire la modul în care operatorii de rețele botnet plantează aceste versiuni OpenSSH pe gazdele infectate.

Dar dacă am aflat ceva din rapoartele anterioare despre operațiunile malware Linux, este atât Hackerii se bazează adesea pe aceleași tehnici vechi pentru a obține un punct de sprijin pe sistemele Linux:

Atacuri de forță brută sau dicționar care încearcă să ghicească parolele SSH. Utilizarea parolelor puternice sau unice sau a unui sistem de filtrare IP pentru conectările SSH ar trebui să prevină aceste tipuri de atacuri.

Exploatarea vulnerabilităților în aplicațiile care rulează pe serverul Linux (de exemplu, aplicații web, CMS etc.).

Dacă aplicația / serviciul a fost configurat greșit cu acces root sau dacă atacatorul exploatează o eroare de escaladare a privilegiilor, o eroare inițială obișnuită a pluginurilor WordPress învechite poate fi ușor escaladată către sistemul de operare subiacent.

Ținând totul la curent, atât sistemul de operare, cât și aplicațiile care rulează pe acesta ar trebui să prevină acest tip de atac.

Se au pregătit un script și reguli pentru antivirus și un tabel pivot cu caracteristicile fiecărui tip de troieni SSH.

Fișiere afectate pe Linux

La fel ca fișiere suplimentare create în sistem și parole pentru acces prin ușa din spate, pentru a identifica componentele OpenSSH care au fost înlocuite.

De exemplu, în unele cazuri, fișiere precum cele utilizate pentru a înregistra parolele interceptate:

  • „/Usr/include/sn.h”,
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • „/Usr/local/share/man/man1/Openssh.1”,
  • „/ Etc / ssh / ssh_known_hosts2”,
  • „/Usr/share/boot.sync”,
  • „/Usr/lib/libpanel.so.a.3”,
  • „/Usr/lib/libcurl.a.2.1”,
  • „/ Var / log / utmp”,
  • „/Usr/share/man/man5/ttyl.5.gz”,
  • „/Usr/share/man/man0/.cache”,
  • „/Var/tmp/.pipe.sock”,
  • „/Etc/ssh/.sshd_auth”,
  • „/Usr/include/X11/sessmgr/coredump.in”,
  • «/ Etc / gshadow–«,
  • „/Etc/X11/.pr”

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: AB Internet Networks 2008 SL
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   nickd89 el a spus
    hace Ani 5

    articol interesant
    căutați unul câte unul în directoare și găsiți unul
    „/ Etc / gshadow–”,
    ce se va întâmpla dacă îl șterg

    Răspunde la nickd89
  2.   Jorge el a spus
    hace Ani 5

    Acel fișier „gshadow” îmi apare și el și îmi cere permisiunile root pentru a-l analiza ...

    Răspunde lui Jorge