ESET identifikoi 21 pako me qëllim të keq që zëvendësojnë OpenSSH

Darkcrizt

Minuta 4

ESET Linux

Kohët e fundit ESET bëri një postim (53 faqe PDF) ku tregon rezultatet e një skanimi të disa paketave Trojan që hakerat ishin instaluar pasi komprometuan hostet e Linux.

Kjo cnë mënyrë që të lënë një derë të pasme ose të kapin fjalëkalimet e përdoruesve gjatë lidhjes me hostet e tjerë.

Të gjitha variantet e konsideruara të softuerit Trojan zëvendësuan klientin OpenSSH ose përbërësit e procesit të serverit.

Rreth paketave të zbuluara

L 18 opsione të identifikuara përfshinin funksione për të kapur fjalëkalimet e hyrjes dhe çelësat e enkriptimit dhe 17 funksione të pasme që lejojnë një sulmues të fshehtë të fitojë qasje në një host të hakuar duke përdorur një fjalëkalim të paracaktuar.

Për më tepër, lStudiuesit zbuluan se një backdoor SSH i përdorur nga operatorët DarkLeech është i njëjtë me atë të përdorur nga Carbanak disa vjet më vonë dhe aktorët e kërcënimit kishin zhvilluar një spektër të gjerë kompleksiteti në implementimet e prapme, nga programe të dëmshme në dispozicion të publikut. Protokollet dhe mostrat e rrjetit.

Si ishte e mundur kjo?

Komponentët me qëllim të keq u vendosën pas një sulmi të suksesshëm në sistem; si rregull, sulmuesit fituan akses përmes zgjedhjes së fjalëkalimeve tipike ose duke shfrytëzuar dobësitë e papastruara në aplikacionet në internet ose drejtuesit e serverit, pas së cilës sistemet e vjetruara përdorën sulme për të rritur privilegjet e tyre.

Historia e identifikimit të këtyre programeve me qëllim të keq meriton vëmendje.

Në procesin e analizimit të botnet Windigo, studiuesit i kushtoi vëmendje kodit për të zëvendësuar ssh me mbrapa Ebury, i cili para nisjes, verifikoi instalimin e dyerve të tjera të pasme për OpenSSH.

Për të identifikuar Trojanët konkurrues, u përdor një listë me 40 lista kontrolli.

Duke përdorur këto funksione, Përfaqësuesit e ESET zbuluan se shumë prej tyre nuk mbulonin dyert e pasme të njohura më parë dhe pastaj ata filluan të kërkonin për rastet që mungonin, duke përfshirë vendosjen e një rrjeti serverash të cenueshëm të honeypot.

Si rezultat, 21 variante të paketës Trojan të identifikuara si zëvendësuese të SSH, të cilat mbeten të rëndësishme në vitet e fundit.

Linux_Siguria

Çfarë argumentojnë stafi i ESET për këtë çështje?

Studiuesit e ESET pranuan se ata nuk i zbuluan këto përhapje nga dora e parë. Ky nder u shkon krijuesve të një malware-i tjetër Linux të quajtur Windigo (aka Ebury).

ESET thotë se ndërsa analizonte botnet Windigo dhe mbrapa saj qendrore Ebury, ata zbuluan se Ebury kishte një mekanizëm të brendshëm që kërkonte dyer të tjera të instaluara në vend OpenSSH.

Mënyra se si ekipi i Windigo e bëri këtë, tha ESET, ishte duke përdorur një skenar Perl që skanoi 40 nënshkrime skedarësh (hashe).

"Kur shqyrtuam këto nënshkrime, shpejt kuptuam se nuk kishim shembuj që përputheshin me shumicën e dyerve të pasme të përshkruara në skenar," tha Marc-Etienne M. Léveillé, analist i malware ESET.

"Operatorët e malware në të vërtetë kishin më shumë njohuri dhe shikueshmëri të hapësirave të pasme të SSH sesa ne," shtoi ai.

Raporti nuk hyn në detaje se si operatorët botnet mbjellin këto versione OpenSSH në bujtësit e infektuar.

Por nëse kemi mësuar ndonjë gjë nga raportet e mëparshme mbi operacionet e malware-it Linux, kjo është ajo Hakerat shpesh mbështeten në të njëjtat teknika të vjetra për të fituar një terren në sistemet Linux:

Forca brutale ose sulme fjalori që përpiqen të gjejnë fjalëkalimet e SSH. Përdorimi i fjalëkalimeve të forta ose unike ose i një sistemi filtrimi IP për hyrjet në SSH duhet të parandalojë këto lloj sulmesh.

Shfrytëzimi i dobësive në aplikacionet që ekzekutohen në serverin Linux (për shembull, aplikacione në internet, CMS, etj.).

Nëse aplikacioni / shërbimi është konfiguruar gabimisht me qasjen në rrënjë ose nëse sulmuesi shfrytëzon një të metë të përshkallëzimit të privilegjit, një e metë e zakonshme fillestare e shtojcave të vjetruara të WordPress mund të përshkallëzohet lehtësisht në sistemin operativ themelor.

Duke mbajtur gjithçka të azhurnuar, si sistemi operativ ashtu edhe aplikacionet që funksionojnë në të duhet të parandalojnë këtë lloj sulmi.

Se ata përgatitën një skenar dhe rregulla për antivirus dhe një tabelë dinamike me karakteristikat e secilit lloj të Trojanëve SSH.

Skedarët e prekur në Linux

Si dhe skedarë shtesë të krijuar në sistem dhe fjalëkalime për të hyrë nga dera e pasme, për të identifikuar përbërësit OpenSSH që janë zëvendësuar.

P.sh. në disa raste, skedarë të tillë si ato që përdoren për të regjistruar fjalëkalime të përgjuara:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etj / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Etj / gshadow–«,
  • "/ Etj / X11/.pr"

Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: AB Internet Networks 2008 SL
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   nofka89 dijo
    më parë Vjet 5

    artikull interesant
    kërkoni një nga një në drejtoritë dhe gjeni një
    "/ Etj / gshadow–",
    çfarë do të ndodhë nëse e fshij atë

    Përgjigju nickd89
  2.   Jorge dijo
    më parë Vjet 5

    Ajo skedar "gshadow" më shfaqet gjithashtu dhe kërkon leje rrënjë për ta analizuar atë ...

    Përgjigju Jorge