Ebury waxa uu shaqaynayay ilaa 2009 waxana uu hadda saameeyaa in ka badan 400,000 oo adeegayaal Linux ah

Sawirka ESET oo muujinaya soo noqnoqoshada u dhaxaysa dembiilayaasha Ebury iyo dheriga malabka

Maalmo yar ka hor, Cilmi-baarayaasha ESET ayaa daabacay daabacaad kuwaas oo ay kaga hadlayaan hawlaha la xidhiidha "Ebury" rootkit. Sida lagu sheegay warbixinta, Ebury ayaa shaqaynaysay ilaa 2009kii oo uu ku dhacay in ka badan 400,000 oo adeegayaal ah oo ku shaqeeya Linux, iyo sidoo kale dhowr boqol oo FreeBSD, OpenBSD iyo nidaamyada ku saleysan Solaris. ESET waxa ay sheegtay in dhamaadka 2023, ay wali jiraan ku dhawaad ​​110,000 oo adeeg oo ay saamaysay Ebury.

Istuudiyahaan si gaar ah ayay u khusaysaa weerarka kernel.org awgeed taas oo Ebury uu ku lug lahaa, oo muujinaya faahfaahin cusub ku saabsan soo galinta kaabayaasha horumarinta kernel-ka Linux ee 2011. Intaa waxaa dheer, Ebury waxaa laga helay server-yada diiwaangelinta domainka, isweydaarsiga crypto, qanjirada ka bixista Tor, iyo bixiyeyaasha martigelinta oo qarsoodi ah.

Toban sano ka hor waxaan kor u qaadnay wacyiga ku saabsan Ebury anagoo daabacnay warqad cad oo aan u yeernay Operation Windigo, kaas oo diiwaangeliyay olole ka faa'iideystey Linux malware faa'iido dhaqaale. Maanta waxaan daabacnaa maqaal dabagal ah oo ku saabsan sida Ebury u horumaray iyo qoysaska cusub ee malware hawlwadeenadeedu ay u isticmaalayaan si ay uga ganacsadaan server-kooda Linux botnet.

Bilowgii waxaa loo maleeyay in kuwii weerarka soo qaaday taas oo wax u dhimay server-yada kernel.org Muddo 17 maalmood ah ayaan la ogaan. Si kastaba ha noqotee, marka loo eego ESET, muddadan waxaa laga xisaabiyay rakibidda rootkit-ka Phalanx.

Laakiin tani ma ahayn kiiska, tan iyo Ebury, kaas oo horeba ugu jiray adeegayaasha ilaa 2009, taasina waxay ogolaatay helitaanka xididka ilaa laba sano. Ebury iyo Phalanx ayaa lagu rakibay qayb ka mid ah weeraro kala duwan oo ay fuliyeen kooxo kala duwan oo weerarka soo qaaday. Ku rakibida albaabka dambe ee Ebury wuxuu saameeyay ugu yaraan 4 server ee kaabayaasha kernel.org, kuwaas oo laba ka mid ah la jabiyay oo aan la ogaanin ilaa laba sano iyo labada kale muddo 6 bilood ah.

Waxaa lagu xusay in Weeraryahanadu waxay u suurtagashay inay galaan furaha sirta ah ee 551 isticmaale lagu kaydiyaa /etc/ hooska, oo ay ku jiraan ilaaliyayaasha kernel. Xisaabaadkan Waxaa loo adeegsaday gelitaanka Git.

Dhacdada ka dib, isbedel ayaa lagu sameeyay furaha sirta ah iyo qaabka gelitaanka ayaa dib loo eegay si loogu daro saxeexyada dhijitaalka ah. 257 ka mid ah isticmaalayaasha ay saamaysay, weeraryahanadu waxa ay u suurtagashay in ay go'aan ka gaadhaan furaha sirta ah ee qoraal cad, malaha iyaga oo isticmaalaya xashiish iyo dhexgaliya ereyada sirta ah ee loo isticmaalo SSH qaybta xaasidnimada leh ee Ebury.

Qaybta xaasidnimada leh Ebury waxay ku faaftay sidii maktabad la wadaago kaas oo soo dhexgalay hawlaha loo isticmaalo OpenSSH si loo dhiso xiriiryo fog oo nidaamyada leh mudnaanta xididka. Weerarkani si gaar ah uma bartilmaameedsan kernel.org, natiijadiina, server-yada ay saameeyeen waxay noqdeen qayb ka mid ah botnet loo isticmaalo in lagu diro spam, xado aqoonsiga si loogu isticmaalo nidaamyada kale, dib u habeynta taraafikada shabakada, iyo fulinta hawlo kale oo xaasidnimo ah.

Qoyska Ebury malware laftiisa sidoo kale waa la cusboonaysiiyay. Cusbooneysiinta nooca cusub ee weyn, 1.8, ayaa markii ugu horreysay la arkay dabayaaqadii 2023. Cusbooneysiinta waxaa ka mid ah farsamooyinka cusub ee qarsoodiga ah, jiilka cusub ee algorithm (DGA), iyo hagaajinta rootkit-ka isticmaalaha ee Ebury u isticmaalo si uu uga qariyo maamulayaasha nidaamka. Marka uu firfircoon yahay, habka, faylka, godka, iyo xitaa xusuusta la qoondeeyey (Jaantuska 6) waa qarsoon yihiin.

Si loo dhex galo server-yada, Weeraryahanadu waxay ka faa'iidaysteen baylahda aan la daboolin ee software server, sida guuldarada ku jirta martigelinta panels-ka iyo furayaasha sirta ah ee la xannibay.

Intaa waxaa dheer, waxaa loo maleynayaa in server-yada kernel.org la jabsaday ka dib markii la jabsaday erayga sirta ah ee mid ka mid ah isticmaalayaasha leh helitaanka qolofka iyo dayacanka sida Dirty COW ayaa loo adeegsaday kor u qaadista mudnaanta.

Waxaa la sheegay in noocyadii ugu dambeeyay ee Ebury, marka lagu daro albaabka dambe, ay ku jiraan qaybo dheeri ah oo loogu talagalay Apache httpd, oo u oggolaanaya in loo diro taraafikada iyada oo loo marayo wakiil, isticmaalayaasha dib u habeynta iyo faragelinta macluumaadka sirta ah. Waxay sidoo kale haysteen module kernel ah si ay wax uga beddelaan taraafikada HTTP ee ku-meel-gaarka ah iyo agabka ay ku qariyaan taraafikada iyaga u gaar ah dabka. Intaa waxaa dheer, waxay ku dareen qoraallo si ay u fuliyaan weerarrada Adversary-in-the-Middle (AitM), ka-hortagga aqoonsiga SSH ee shabakadaha bixiyeyaasha martigelinaya.

Ugu dambeyntii, haddii aad xiisaynayso inaad awood u yeelatid inaad wax badan ka ogaato, waxaad kala tashan kartaa faahfaahinta xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Ka mas'uul ah xogta: AB Internet Networks 2008 SL
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.