ESET обнаружила 21 вредоносный пакет, заменяющий OpenSSH

ESET недавно опубликовал сообщение (53 страницы PDF) где показаны результаты сканирования некоторых троянских пакетов что хакеры были установлены после компрометации хостов Linux.

Это cчтобы оставить черный ход или перехватить пароли пользователей при подключении к другим хостам.

Все рассмотренные варианты троянского ПО заменяли клиентские или серверные компоненты OpenSSH.

Об обнаруженных пакетах

Лас- Выявлено 18 опций, включая функции для перехвата входных паролей и ключей шифрования, а также 17 функций бэкдора которые позволяют злоумышленнику тайно получить доступ к взломанному хосту, используя заранее заданный пароль.

Кроме того, lИсследователи обнаружили, что бэкдор SSH, используемый операторами DarkLeech, совпадает с тем, который используется Carbanak. несколько лет спустя, и эти злоумышленники разработали широкий спектр сложных реализаций бэкдоров, от вредоносных программ, доступных для общественности. Сетевые протоколы и образцы.

Как это было возможно?

Вредоносные компоненты были развернуты после успешной атаки на систему; Как правило, злоумышленники получали доступ через типичный выбор пароля или с помощью незащищенных уязвимостей в веб-приложениях или драйверах серверов, после чего устаревшие системы использовали атаки для повышения своих привилегий.

Заслуживает внимания история идентификации этих вредоносных программ.

В процессе анализа ботнета Windigo исследователи обратил внимание на код замены ssh на бэкдор Ebury, который перед запуском проверил установку других бэкдоров для OpenSSH.

Чтобы идентифицировать конкурирующих троянцев, был использован список из 40 чек-листов.

Используя эти функции, Представители ESET обнаружили, что многие из них не закрывали ранее известные лазейки. а затем они начали искать недостающие экземпляры, в том числе путем развертывания сети уязвимых серверов-приманок.

В результате 21 вариант троянского пакета идентифицирован как заменяющий SSH, которые остаются актуальными в последние годы.

Что по этому поводу спорят сотрудники ESET?

Исследователи ESET признали, что они не обнаружили эти спреды из первых рук. Эта честь принадлежит создателям еще одной вредоносной программы для Linux под названием Windigo (также известной как Ebury).

ESET сообщает, что при анализе ботнета Windigo и его центрального бэкдора Ebury, они обнаружили, что у Ebury был внутренний механизм, который искал другие локально установленные бэкдоры OpenSSH.

ESET сообщила, что команда Windigo сделала это с помощью сценария Perl, который сканировал 40 сигнатур файлов (хэшей).

«Когда мы исследовали эти сигнатуры, мы быстро поняли, что у нас нет образцов, которые соответствовали бы большинству задних дверей, описанных в сценарии», - сказал Марк-Этьен М. Левей, аналитик вредоносных программ ESET.

«Операторы вредоносных программ на самом деле знали и знали о бэкдорах SSH больше, чем мы», - добавил он.

В отчете не приводится подробностей о том, как операторы ботнета устанавливают эти версии OpenSSH. на зараженных хостах.

Но если мы и узнали что-нибудь из предыдущих отчетов об операциях с вредоносными программами Linux, так это то, что Хакеры часто полагаются на одни и те же старые методы, чтобы закрепиться в системах Linux:

Грубая сила или атаки по словарю, которые пытаются угадать пароли SSH. Использование надежных или уникальных паролей или системы фильтрации IP-адресов для входа по SSH должно предотвратить эти типы атак.

Эксплуатация уязвимостей в приложениях, работающих на сервере Linux (например, веб-приложениях, CMS и т. Д.).

Если приложение / служба были неправильно настроены с использованием корневого доступа или если злоумышленник использует уязвимость повышения привилегий, общая начальная ошибка устаревших плагинов WordPress может быть легко перенесена на базовую операционную систему.

Поддерживая все в актуальном состоянии, как операционная система, так и приложения, работающие в ней, должны предотвращать подобные атаки.

Se подготовили скрипт и правила для антивируса, а также динамическую таблицу с характеристиками каждого типа SSH-троянцев.

Затронутые файлы в Linux

А также дополнительные файлы, созданные в системе, и пароли для доступа через черный ход, чтобы идентифицировать компоненты OpenSSH, которые были заменены.

Например, в некоторых случаях такие файлы, как те, которые используются для записи перехваченных паролей:

• "/Usr/include/sn.h",
• "/Usr/lib/mozilla/extensions/mozzlia.ini",
• "/Usr/local/share/man/man1/Openssh.1",
• "/ Etc / ssh / ssh_known_hosts2",
• "/Usr/share/boot.sync",
• "/Usr/lib/libpanel.so.a.3",
• "/Usr/lib/libcurl.a.2.1",
• "/ Вар / журнал / utmp",
• "/Usr/share/man/man5/ttyl.5.gz",
• "/Usr/share/man/man0/.cache",
• "/Var/tmp/.pipe.sock",
• "/Etc/ssh/.sshd_auth",
• "/Usr/include/X11/sessmgr/coredump.in",
• «/ Etc / gshadow–«,
• "/Etc/X11/.pr"