ESET je odkril 21 zlonamernih paketov, ki nadomeščajo OpenSSH

Darkcrizt

4 minut

ESET Linux

ESET je nedavno objavil objavo (53 strani PDF) kjer prikazuje rezultate pregleda nekaterih trojanskih paketov da so bili hekerji nameščeni po ogrožanju gostiteljev Linuxa.

Ta cda bi zapustili zadnja vrata ali prestregli uporabniška gesla med povezovanjem z drugimi gostitelji.

Vse obravnavane različice trojanske programske opreme so nadomestile odjemalske ali strežniške procesne komponente OpenSSH.

O zaznanih paketih

The Ugotovljenih je bilo 18 možnosti, ki vključujejo funkcije za prestrezanje vhodnih gesel in šifrirnih ključev ter 17 predvidenih funkcij v ozadju ki omogočajo napadalcu, da na skrivaj pridobi dostop do vdrtega gostitelja z vnaprej določenim geslom.

Poleg tega je lRaziskovalci so odkrili, da je SSH backdoor, ki ga uporabljajo operaterji DarkLeech, enak tistemu, ki ga uporablja Carbanak nekaj let kasneje in da so akterji groženj razvili širok spekter zapletenih izvedb, od zlonamernih programov, ki so na voljo javnosti. Omrežni protokoli in vzorci.

Kako je bilo to mogoče?

Zlonamerne komponente so bile razporejene po uspešnem napadu na sistem; napadalci so praviloma dostopali s tipično izbiro gesla ali z izkoriščanjem neprimernih ranljivosti v spletnih aplikacijah ali strežniških gonilnikih, nato pa so zastareli sistemi z napadi povečali svoje privilegije.

Zgodovina identifikacije teh zlonamernih programov si zasluži pozornost.

V procesu analize bota Windigo raziskovalci pozoren na kodo za zamenjavo ssh z Ebury backdoor, ki je pred zagonom preveril namestitev drugih backdoor za OpenSSH.

Da bi prepoznali konkurenčne trojance, uporabljen je bil seznam 40 kontrolnih seznamov.

Z uporabo teh funkcij Predstavniki ESET so ugotovili, da mnogi izmed njih niso pokrivali prej znanih zadnjih vrat nato pa so začeli iskati manjkajoče primerke, med drugim z uvedbo mreže ranljivih strežnikov honeypot.

Kot rezultat, 21 različic trojanskega paketa, ki so bile identificirane kot nadomestne SSH, ki ostajajo pomembna v zadnjih letih.

Linux_Varnost

Kaj osebje ESET trdi glede tega?

Raziskovalci ESET so priznali, da teh namazov niso odkrili iz prve roke. Ta čast gre ustvarjalcem druge zlonamerne programske opreme Linux, imenovane Windigo (aka Ebury).

ESET pravi, da je med analizo bontneta Windigo in njegovega osrednjega zaledja Ebury, ugotovili so, da je imel Ebury notranji mehanizem, ki je iskal druge lokalno nameščene zakulisne prostore OpenSSH.

ESET je dejal, da je ekipa Windigo to storila s pomočjo Perlovega skripta, ki je skeniral 40 podpisov datotek (zgoščenih).

"Ko smo pregledali te podpise, smo hitro ugotovili, da nimamo vzorcev, ki bi ustrezali večini zadnjih vrat, opisanih v scenariju," je povedal Marc-Etienne M. Léveillé, analitik za zlonamerno programsko opremo ESET.

"Operaterji zlonamerne programske opreme so dejansko imeli več znanja in vidnosti vrat SSH kot mi," je dodal.

Poročilo ne zajema podrobnosti o tem, kako operaterji botnetov namestijo te različice OpenSSH na okuženih gostiteljih.

Če pa smo se iz prejšnjih poročil o operacijah zlonamerne programske opreme Linux kaj naučili, je to to Hekerji se pogosto opirajo na iste stare tehnike, da se uveljavijo v sistemih Linux:

Napadi s silo ali slovarji, ki poskušajo uganiti gesla SSH. Uporaba močnih ali edinstvenih gesel ali sistema filtriranja IP za prijave SSH bi morala preprečiti tovrstne napade.

Izkoriščanje ranljivosti v aplikacijah, ki se izvajajo na strežniku Linux (na primer spletnih aplikacijah, CMS itd.).

Če je bila aplikacija / storitev napačno konfigurirana s korenskim dostopom ali če napadalec izkorišča napako v stopnjevanju privilegij, lahko običajno začetno napako zastarelih vtičnikov WordPress enostavno prenesete na osnovni operacijski sistem.

Če posodabljate vse, tako operacijski sistem kot tudi aplikacije, ki se na njem izvajajo, bi morali to vrsto napada preprečiti.

Se pripravili so skript in pravila za protivirusno programsko opremo in dinamično tabelo z značilnostmi posamezne vrste SSH trojancev.

Datoteke v Linuxu

Poleg dodatnih datotek, ustvarjenih v sistemu, in gesel za dostop skozi zadnja vrata za identifikacijo zamenjanih komponent OpenSSH.

Npr v nekaterih primerih datoteke, kot so tiste, ki se uporabljajo za snemanje prestreženih gesel:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etc / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Itd / gshadow–«,
  • "/Etc/X11/.pr"

Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Odgovoren za podatke: AB Internet Networks 2008 SL
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

  1.   nickd89 je dejal
    nazaj 5 let

    zanimiv članek
    iščite enega po enega po imenikih in ga najdete
    "/ Itd / gshadow–",
    kaj se bo zgodilo, če ga izbrišem

    Odgovorite na nickd89
  2.   Jorge je dejal
    nazaj 5 let

    Tudi ta datoteka "gshadow" se mi zdi in zahteva korenska dovoljenja za njeno analizo ...

    Odgovorite Jorgeju