ЕСЕТ је недавно објавио пост (53 странице у ПДФ-у) где приказује резултате скенирања неких тројанских пакета да су хакери инсталирани након угрожавања Линук хостова.
Ово цкако би се оставила задња врата или пресрела корисничка лозинка док се повезујете са другим домаћинима.
Све разматране верзије тројанског софтвера замениле су компоненте процеса клијента или сервера ОпенССХ.
О откривеним пакетима
Тхе Идентификовано је 18 опција које укључују функције пресретања улазних лозинки и кључева за шифровање и 17 обезбеђених функција бацкдоор који омогућавају нападачу да тајно добије приступ хакованом хосту користећи унапред дефинисану лозинку.
Даље, лИстраживачи су открили да је ССХ бацкдоор који користе оператери ДаркЛеецх исти као онај који користи Царбанак неколико година касније и да су актери претњи развили широк спектар сложености у бацкдоор имплементацијама, од злонамерних програма доступних јавности. Мрежни протоколи и узорци.
Како је то било могуће?
Злонамерне компоненте су примењене након успешног напада на систем; по правилу су нападачи приступили типичним одабиром лозинке или искориштавањем непримењених рањивости у веб апликацијама или управљачким програмима сервера, након чега су застарели системи користили нападе да би повећали своје привилегије.
Историја идентификације ових злонамерних програма заслужује пажњу.
У процесу анализе Виндиго ботнет-а, истраживачи обратио пажњу на код за замену ссх-а са Ебури бацкдоор-ом, који је пре покретања верификовао инсталацију других бацкдоор-ова за ОпенССХ.
Да би идентификовали конкурентске Тројанце, коришћена је листа од 40 контролних листа.
Користећи ове функције, Представници ЕСЕТ-а открили су да многи од њих нису покривали раније позната задња врата а затим су започели потрагу за несталим инстанцама, укључујући постављање мреже рањивих послужитеља меда.
Као резултат, 21 верзија тројанског пакета идентификована као замена ССХ-а, који остају релевантни последњих година.
Шта ЕСЕТ-ово особље тврди по том питању?
ЕСЕТ-ови истраживачи признали су да ове намазе нису открили из прве руке. Та част припада творцима другог Линук злонамерног софтвера названог Виндиго (звани Ебури).
ЕСЕТ каже да је током анализе Виндиго ботнета и његове централне Ебури позадине, открили су да је Ебури имао унутрашњи механизам који је тражио друга локално инсталирана ОпенССХ задња врата.
ЕСЕТ је рекао да је начин на који је Виндиго тим то урадио био коришћењем Перл скрипте која је скенирала 40 потписа датотека (хеши).
„Када смо испитали ове потписе, брзо смо схватили да немамо узорке који се подударају са већином задњих врата описаних у скрипти“, рекао је Марц-Етиенне М. Левеилле, ЕСЕТ-ов аналитичар малвера.
„Оператери малвера заправо су имали више знања и видљивости ССХ бацкдоор-а него ми“, додао је.
Извештај не улази у детаље о томе како ботнет оператери постављају ове верзије ОпенССХ на зараженим домаћинима.
Али ако смо ишта научили из претходних извештаја о операцијама злонамерног софтвера Линук, то је то Хакери се често ослањају на исте старе технике како би стекли упориште на Линук системима:
Напади грубом силом или речником који покушавају да погоде ССХ лозинке. Коришћење јаких или јединствених лозинки или ИП система за филтрирање за ССХ пријаве требало би да спречи ове врсте напада.
Искоришћавање рањивости у апликацијама које се изводе на Линук серверу (на пример, веб апликације, ЦМС итд.).
Ако је апликација / услуга погрешно конфигурисана са роот приступом или ако нападач искористи мању ескалацију привилегија, уобичајена почетна мана застарелих ВордПресс додатака може се лако пренијети на основни оперативни систем.
Ажурирање свега, како оперативни систем, тако и апликације које се на њему покрећу, треба да спрече ову врсту напада.
Se припремили су скрипту и правила за антивирус и динамичку табелу са карактеристикама сваке врсте ССХ тројанаца.
Погођене датотеке на Линук-у
Као и додатне датотеке креиране у систему и лозинке за приступ кроз задња врата, ради идентификовања замењених ОпенССХ компоненти.
Нпр у неким случајевима датотеке попут оних које се користе за снимање пресретнутих лозинки:
- "/Уср/инцлуде/сн.х",
- "/Уср/либ/мозилла/ектенсионс/моззлиа.ини",
- "/Уср/лоцал/схаре/ман/ман1/Опенссх.1",
- "/ Етц / ссх / ссх_кновн_хостс2",
- "/Уср/схаре/боот.синц",
- "/Уср/либ/либпанел.со.а.3",
- "/Уср/либ/либцурл.а.2.1",
- "/ Вар / лог / утмп",
- "/Уср/схаре/ман/ман5/ттил.5.гз",
- "/Уср/схаре/ман/ман0/.цацхе",
- "/Вар/тмп/.пипе.соцк",
- "/Етц/ссх/.ссхд_аутх",
- "/Уср/инцлуде/Кс11/сессмгр/цоредумп.ин",
- «/ Итд. / Гсхадов–«,
- "/Етц/Кс11/.пр"
занимљив чланак
претражите један по један у директоријумима и пронађите један
"/ Етц / гсхадов–",
шта ће се догодити ако је избришем
Та датотека "гсхадов" ми се такође појављује и тражи роот дозволе за њену анализу ...