ESET identifierade 21 skadliga paket som ersätter OpenSSH

Darkcrizt

4 minuter

ESET Linux

ESET gjorde nyligen ett inlägg (PDF på 53 sidor) där det visar resultaten av en genomsökning av vissa Trojan-paket att hackare installerades efter att ha komprometterat med Linux-värdar.

Detta Cför att lämna en bakdörr eller fånga upp användarlösenord när du ansluter till andra värdar.

Alla betraktade varianter av Trojan-programvaran ersatte OpenSSH-klient- eller serverprocesskomponenter.

Om upptäckta paket

den 18 alternativ identifierade inkluderade funktioner för att fånga in inmatade lösenord och krypteringsnycklar och 17 bakdörrfunktioner som tillåter en angripare att i hemlighet få tillgång till en hackad värd med ett fördefinierat lösenord.

Dessutom lForskare upptäckte att en SSH-bakdörr som används av DarkLeech-operatörer är densamma som den som används av Carbanak några år senare och att hotaktörer hade utvecklat ett brett spektrum av komplexitet i implementeringar av bakdörrar, från skadliga program som var tillgängliga för allmänheten. Nätverksprotokoll och prover.

Hur var detta möjligt?

Skadliga komponenter distribuerades efter en framgångsrik attack på systemet; som regel fick angripare tillgång genom typiskt lösenordsval eller genom att utnyttja omatchade sårbarheter i webbapplikationer eller serverdrivrutiner, varefter föråldrade system använde attacker för att öka sina privilegier.

Identifieringshistoriken för dessa skadliga program förtjänar uppmärksamhet.

Under processen att analysera Windigo botnet, forskarna uppmärksammade koden för att ersätta ssh med Ebury bakdörr, som före lanseringen verifierade installationen av andra bakdörrar för OpenSSH.

För att identifiera konkurrerande trojaner, en lista med 40 checklistor användes.

Använda dessa funktioner, ESET-representanter fann att många av dem inte täckte tidigare kända bakdörrar och sedan började de leta efter de saknade förekomsterna, bland annat genom att distribuera ett nätverk av sårbara honeypot-servrar.

Som ett resultat 21 Trojanska paketvarianter identifierade som ersättning för SSH, som fortfarande är relevanta de senaste åren.

Linux_Säkerhet

Vad argumenterar ESET-personal i frågan?

ESET-forskarna medgav att de inte upptäckte dessa spridningar från första hand. Den äran tillkommer skaparna av en annan Linux-malware som heter Windigo (aka Ebury).

ESET säger att medan man analyserar Windigo botnet och dess centrala Ebury bakdörr, de fann att Ebury hade en intern mekanism som letade efter andra lokalt installerade OpenSSH-bakdörrar.

ESET sa att Windigo-teamet gjorde detta var att använda ett Perl-skript som skannade 40 filsignaturer (hash).

"När vi granskade dessa signaturer, insåg vi snabbt att vi inte hade några prover som matchade de flesta bakdörrar som beskrivs i manuset", säger Marc-Etienne M. Léveillé, ESET: s malwareanalytiker.

"Malwareoperatörerna hade faktiskt mer kunskap och synlighet för SSH-bakdörrar än vi gjorde", tillade han.

Rapporten går inte in på detaljer om hur botnetoperatörer planterar dessa OpenSSH-versioner på infekterade värdar.

Men om vi har lärt oss någonting från tidigare rapporter om Linux-skadlig verksamhet är det det Hackare litar ofta på samma gamla tekniker för att få fotfäste på Linux-system:

Brute force eller ordlistaattacker som försöker gissa SSH-lösenord. Att använda starka eller unika lösenord eller ett IP-filtreringssystem för SSH-inloggningar bör förhindra dessa typer av attacker.

Utnyttjande av sårbarheter i applikationer som körs på Linux-servern (till exempel webbapplikationer, CMS, etc.).

Om applikationen / tjänsten har konfigurerats felaktigt med root-åtkomst eller om angriparen utnyttjar en privilegierad eskaleringsfel, kan en vanlig initiala brist på föråldrade WordPress-plugins lätt eskaleras till det underliggande operativsystemet.

Att hålla allt uppdaterat, både operativsystem och applikationer som körs på det, bör förhindra denna typ av attack.

Se de förberedde ett skript och regler för antivirusprogram och en dynamisk tabell med egenskaper för varje typ av SSH-trojaner.

Berörda filer på Linux

Förutom ytterligare filer som skapats i systemet och lösenord för åtkomst genom bakdörren för att identifiera de OpenSSH-komponenter som har bytts ut.

T.ex. i vissa fall filer som de som används för att spela in fångade lösenord:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etc / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Etc / gshadow–«,
  • "/Etc/X11/.pr"

Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för data: AB Internet Networks 2008 SL
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   nickd89 sade
    sedan 5 år

    intressant artikel
    sök en efter en i kataloger och hittade en
    "/ Etc / gshadow–",
    vad händer om jag tar bort det

    Svara nickd89
  2.   jorge sade
    sedan 5 år

    Den "gshadow" -filen visas också för mig och ber om rootbehörigheter för att analysera den ...

    Svara på Jorge