ESET identifikoval 21 škodlivých balíkov, ktoré nahrádzajú OpenSSH

Darkcrizt

4 minút

ESET Linux

ESET nedávno zverejnil príspevok (53 strán PDF) kde zobrazuje výsledky kontroly niektorých balíkov trójskych koní že hackeri boli nainštalovaní po napadnutí hostiteľov Linuxu.

Tento cs cieľom opustiť zadné vrátka alebo zachytiť používateľské heslá počas pripájania k iným hostiteľom.

Všetky zvažované varianty trójskeho softvéru nahradili komponenty procesu klienta alebo servera OpenSSH.

O zistených paketoch

L Bolo identifikovaných 18 možností vrátane funkcií na zachytenie vstupných hesiel a šifrovacích kľúčov a 17 poskytovaných funkcií backdooru ktoré umožňujú útočníkovi tajne získať prístup k hacknutému hostiteľovi pomocou preddefinovaného hesla.

Ďalej lVedci zistili, že backdoor SSH používaný operátormi DarkLeech je rovnaký ako backdoor používaný Carbanakom o niekoľko rokov neskôr si aktéri hrozieb vyvinuli široké spektrum zložitosti implementácií backdoorov od škodlivých programov dostupných pre verejnosť. Sieťové protokoly a vzorky.

Ako to bolo možné?

Škodlivé komponenty boli nasadené po úspešnom útoku na systém; Útočníci spravidla získavali prístup typickým výberom hesla alebo využívaním nevyriešených chýb zabezpečenia vo webových aplikáciách alebo v ovládačoch serverov, po ktorých zastarané systémy využívali útoky na zvýšenie svojich práv.

Pozornosť si zaslúži históriu identifikácie týchto škodlivých programov.

V procese analýzy botnetu Windigo, vedci venovali pozornosť kódu, ktorý nahradil ssh Ebury backdoor, ktorý pred spustením overil inštaláciu ďalších zadných vrátok pre OpenSSH.

Na identifikáciu konkurenčných trójskych koní bol použitý zoznam 40 kontrolných zoznamov.

Pomocou týchto funkcií Zástupcovia spoločnosti ESET zistili, že veľa z nich nezakrývalo predtým známe zadné vrátka a potom začali hľadať chýbajúce inštancie, okrem iného aj nasadením siete zraniteľných serverov honeypot.

Výsledkom je, 21 variantov trójskych koní identifikovaných ako nahradzujúcich SSH, ktoré zostávajú relevantné aj v posledných rokoch.

Zabezpečenie Linuxu

Čo v tejto veci argumentujú pracovníci spoločnosti ESET?

Vedci z ESET-u pripustili, že tieto nátierky neobjavili na vlastnej koži. Táto pocta patrí tvorcom ďalšieho linuxového malvéru s názvom Windigo (alias Ebury).

ESET tvrdí, že pri analýze botnetu Windigo a jeho centrálneho zadného vrátka v Ebury zistili, že Ebury mal vnútorný mechanizmus, ktorý hľadal ďalšie lokálne nainštalované zadné vrátka OpenSSH.

Tím spoločnosti Windigo to urobil, povedal ESET, pomocou skriptu Perl, ktorý skenoval 40 podpisov súborov (hashov).

„Keď sme skúmali tieto podpisy, rýchlo sme si uvedomili, že nemáme žiadne vzorky, ktoré by zodpovedali väčšine zadných dvier popísaných v scenári,“ uviedol Marc-Etienne M. Léveillé, analytik malvéru ESET.

„Prevádzkovatelia škodlivého softvéru mali v skutočnosti väčšie znalosti a viditeľnosť zadných vrátok SSH ako my,“ dodal.

Správa nejde do podrobností o tom, ako operátori botnetov tieto verzie OpenSSH zasadia na infikovaných hostiteľoch.

Pokiaľ sme sa ale dozvedeli niečo z predchádzajúcich správ o operáciách s malvérom v systéme Linux, je to ono Hackeri sa pri získavaní opory v systémoch Linux často spoliehajú na rovnaké staré techniky:

Hrubá sila alebo slovníkové útoky, ktoré sa snažia uhádnuť heslá SSH. Používanie silných alebo jedinečných hesiel alebo systému filtrovania adries IP pre prihlásenie SSH by malo zabrániť týmto typom útokov.

Využívanie zraniteľností v aplikáciách, ktoré bežia na serveri Linux (napríklad webové aplikácie, CMS atď.).

Ak bola aplikácia / služba nesprávne nakonfigurovaná s prístupom root alebo ak útočník využije chybu eskalácie privilégií, bežná počiatočná chyba zastaraných doplnkov WordPress môže byť ľahko eskalovaná do základného operačného systému.

Udržiavaním aktuálneho stavu by operačný systém aj aplikácie, ktoré na ňom bežia, mali zabrániť týmto typom útokov.

Se pripravili skript a pravidlá pre antivírus a kontingenčnú tabuľku s charakteristikami každého typu trójskych koní SSH.

Ovplyvnené súbory v systéme Linux

Rovnako ako ďalšie súbory vytvorené v systéme a heslá pre prístup cez zadné vrátka, na identifikáciu komponentov OpenSSH, ktoré boli nahradené.

Napr v niektorých prípadoch súbory, napríklad tie, ktoré sa používajú na zaznamenanie zachytených hesiel:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Atď / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Atď / gshadow–«,
  • „/Etc/X11/.pr“

Zanechajte svoj komentár

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *

*

*

  1. Za údaje zodpovedá: AB Internet Networks 2008 SL
  2. Účel údajov: Kontrolný SPAM, správa komentárov.
  3. Legitimácia: Váš súhlas
  4. Oznamovanie údajov: Údaje nebudú poskytnuté tretím stranám, iba ak to vyplýva zo zákona.
  5. Ukladanie dát: Databáza hostená spoločnosťou Occentus Networks (EU)
  6. Práva: Svoje údaje môžete kedykoľvek obmedziť, obnoviť a vymazať.

  1.   nickd89 dijo
    hace 5 rokov

    zaujímavý článok
    prehľadávať jeden po druhom v adresároch a nájsť jeden
    "/ Atď / gshadow–",
    čo sa stane, ak to odstránim

    Odpovedať nickd89
  2.   Jorge dijo
    hace 5 rokov

    Tento súbor „gshadow“ sa mi tiež zobrazuje a žiada o oprávnenie root na jeho analýzu ...

    Odpovedať Jorgeovi