ESET சமீபத்தில் ஒரு இடுகையை வெளியிட்டது (53 பக்கம் PDF) சில ட்ரோஜன் தொகுப்புகளின் ஸ்கேன் முடிவுகளை இது காட்டுகிறது லினக்ஸ் ஹோஸ்ட்களை சமரசம் செய்த பின்னர் ஹேக்கர்கள் நிறுவப்பட்டனர்.
இந்த சிபின் கதவை விட்டு வெளியேற அல்லது பயனர் கடவுச்சொற்களை இடைமறிக்க பிற ஹோஸ்ட்களுடன் இணைக்கும்போது.
ட்ரோஜன் மென்பொருளின் அனைத்து கருதப்படும் வகைகளும் OpenSSH கிளையன்ட் அல்லது சேவையக செயல்முறை கூறுகளை மாற்றின.
கண்டறியப்பட்ட பாக்கெட்டுகள் பற்றி
தி அடையாளம் காணப்பட்ட 18 விருப்பங்கள் உள்ளீட்டு கடவுச்சொற்கள் மற்றும் குறியாக்க விசைகளை இடைமறிக்கும் செயல்பாடுகளையும், 17 வழங்கப்பட்ட பின்புற செயல்பாடுகளையும் உள்ளடக்கியது இது ஒரு முன் வரையறுக்கப்பட்ட கடவுச்சொல்லைப் பயன்படுத்தி ஹேக் செய்யப்பட்ட ஹோஸ்டுக்கு ரகசியமாக அணுகலைப் பெற அனுமதிக்கிறது.
மேலும், எல்டார்க்லீச் ஆபரேட்டர்கள் பயன்படுத்தும் எஸ்எஸ்ஹெச் கதவு கார்பனக் பயன்படுத்தியதைப் போன்றது என்று ஆராய்ச்சியாளர்கள் கண்டுபிடித்தனர் சில ஆண்டுகளுக்குப் பிறகு, அச்சுறுத்தல் நடிகர்கள் பொதுமக்களுக்கு கிடைக்கக்கூடிய தீங்கிழைக்கும் திட்டங்களிலிருந்து, கதவு நடைமுறைகளில் சிக்கலான ஒரு பரந்த அளவை உருவாக்கியுள்ளனர். பிணைய நெறிமுறைகள் மற்றும் மாதிரிகள்.
இது எப்படி சாத்தியமானது?
கணினியில் வெற்றிகரமான தாக்குதலுக்குப் பிறகு தீங்கிழைக்கும் கூறுகள் பயன்படுத்தப்பட்டன; ஒரு விதியாக, தாக்குதல் செய்பவர்கள் வழக்கமான கடவுச்சொல் தேர்வு மூலம் அல்லது வலை பயன்பாடுகள் அல்லது சேவையக இயக்கிகளில் இணைக்கப்படாத பாதிப்புகளைப் பயன்படுத்துவதன் மூலம் அணுகலைப் பெற்றனர், அதன் பிறகு காலாவதியான அமைப்புகள் தங்கள் சலுகைகளை அதிகரிக்க தாக்குதல்களைப் பயன்படுத்தின.
இந்த தீங்கிழைக்கும் திட்டங்களின் அடையாள வரலாறு கவனத்திற்கு உரியது.
விண்டிகோ போட்நெட்டை பகுப்பாய்வு செய்யும் பணியில், ஆராய்ச்சியாளர்கள் ssh ஐ Ebury backdoor உடன் மாற்றுவதற்கான குறியீட்டில் கவனம் செலுத்தியது, இது தொடங்குவதற்கு முன், OpenSSH க்கான பிற கதவுகளை நிறுவுவதை சரிபார்க்கிறது.
போட்டியிடும் ட்ரோஜான்களை அடையாளம் காண, 40 சரிபார்ப்பு பட்டியல்களின் பட்டியல் பயன்படுத்தப்பட்டது.
இந்த செயல்பாடுகளைப் பயன்படுத்தி, அவர்களில் பலர் முன்னர் அறியப்பட்ட பின் கதவுகளை மறைக்கவில்லை என்பதை ESET பிரதிநிதிகள் கண்டறிந்தனர் பின்னர் அவர்கள் காணாமல் போன நிகழ்வுகளைத் தேடத் தொடங்கினர், இதில் பாதிக்கப்படக்கூடிய ஹனிபாட் சேவையகங்களின் வலையமைப்பைப் பயன்படுத்துவதன் மூலம்.
இதன் விளைவாக, 21 ட்ரோஜன் தொகுப்பு வகைகள் SSH ஐ மாற்றுவதாக அடையாளம் காணப்பட்டுள்ளன, இது சமீபத்திய ஆண்டுகளில் பொருத்தமாக இருக்கும்.
இந்த விஷயத்தில் ESET ஊழியர்கள் என்ன வாதிடுகிறார்கள்?
ESET ஆராய்ச்சியாளர்கள் இந்த பரவல்களை முதலில் கண்டுபிடிக்கவில்லை என்று ஒப்புக்கொண்டனர். அந்த மரியாதை விண்டிகோ (அக்கா எபரி) என்று அழைக்கப்படும் மற்றொரு லினக்ஸ் தீம்பொருளை உருவாக்கியவர்களுக்கு செல்கிறது.
விண்டிகோ போட்நெட் மற்றும் அதன் மத்திய எபரி கதவுகளை பகுப்பாய்வு செய்யும் போது, உள்நாட்டில் நிறுவப்பட்ட OpenSSH பின்புற கதவுகளைத் தேடும் ஒரு உள் பொறிமுறையை எபரி கொண்டிருப்பதை அவர்கள் கண்டறிந்தனர்.
விண்டிகோ குழு இதைச் செய்த விதம், பெர்ல் ஸ்கிரிப்டைப் பயன்படுத்துவதன் மூலம் 40 கோப்பு கையொப்பங்களை (ஹாஷ்கள்) ஸ்கேன் செய்வதாக ESET கூறியது.
"இந்த கையொப்பங்களை நாங்கள் ஆராய்ந்தபோது, ஸ்கிரிப்ட்டில் விவரிக்கப்பட்டுள்ள பெரும்பாலான பின்புற கதவுகளுடன் பொருந்தக்கூடிய மாதிரிகள் எங்களிடம் இல்லை என்பதை விரைவாக உணர்ந்தோம்" என்று ESET தீம்பொருள் ஆய்வாளர் மார்க்-எட்டியென் எம். லெவில்லே கூறினார்.
"தீம்பொருள் ஆபரேட்டர்கள் உண்மையில் எங்களை விட எஸ்எஸ்ஹெச் பின்புறங்களில் அதிக அறிவையும் தெரிவுநிலையையும் கொண்டிருந்தனர்," என்று அவர் கூறினார்.
போட்நெட் ஆபரேட்டர்கள் இந்த ஓப்பன்எஸ்எஸ்எச் பதிப்புகளை எவ்வாறு நடவு செய்கிறார்கள் என்பது குறித்த விவரங்களுக்கு அறிக்கை செல்லவில்லை பாதிக்கப்பட்ட ஹோஸ்ட்களில்.
ஆனால் லினக்ஸ் தீம்பொருள் செயல்பாடுகள் குறித்த முந்தைய அறிக்கைகளிலிருந்து எதையும் நாங்கள் கற்றுக்கொண்டால், அதுதான் லினக்ஸ் கணினிகளில் கால் பதிக்க ஹேக்கர்கள் பெரும்பாலும் அதே பழைய நுட்பங்களை நம்பியிருக்கிறார்கள்:
SSH கடவுச்சொற்களை யூகிக்க முயற்சிக்கும் முரட்டு சக்தி அல்லது அகராதி தாக்குதல்கள். SSH உள்நுழைவுகளுக்கு வலுவான அல்லது தனித்துவமான கடவுச்சொற்களை அல்லது ஐபி வடிகட்டுதல் முறையைப் பயன்படுத்துவது இந்த வகையான தாக்குதல்களைத் தடுக்க வேண்டும்.
லினக்ஸ் சேவையகத்தில் இயங்கும் பயன்பாடுகளில் உள்ள பாதிப்புகளின் சுரண்டல் (எடுத்துக்காட்டாக, வலை பயன்பாடுகள், சிஎம்எஸ் போன்றவை).
பயன்பாடு / சேவை ரூட் அணுகலுடன் தவறாக உள்ளமைக்கப்பட்டிருந்தால் அல்லது தாக்குபவர் ஒரு சலுகை விரிவாக்கக் குறைபாட்டைப் பயன்படுத்தினால், காலாவதியான வேர்ட்பிரஸ் செருகுநிரல்களின் பொதுவான ஆரம்பக் குறைபாடு அடிப்படை இயக்க முறைமைக்கு எளிதாக விரிவாக்கப்படலாம்.
எல்லாவற்றையும் புதுப்பித்த நிலையில் வைத்திருப்பதன் மூலம், இயக்க முறைமை மற்றும் அதில் இயங்கும் பயன்பாடுகள் இரண்டும் இந்த வகையான தாக்குதல்களைத் தடுக்க வேண்டும்.
Se அவர்கள் வைரஸ் தடுப்புக்கான ஸ்கிரிப்ட் மற்றும் விதிகள் மற்றும் ஒவ்வொரு வகை எஸ்.எஸ்.எச் ட்ரோஜன்களின் பண்புகளைக் கொண்ட டைனமிக் டேபிள் ஆகியவற்றைத் தயாரித்தனர்.
லினக்ஸில் பாதிக்கப்பட்ட கோப்புகள்
மாற்றப்பட்ட OpenSSH கூறுகளை அடையாளம் காண, கணினியில் உருவாக்கப்பட்ட கூடுதல் கோப்புகள் மற்றும் பின்புற கதவு வழியாக அணுக கடவுச்சொற்கள்.
உதாரணமாக, சில சந்தர்ப்பங்களில், இடைமறிக்கப்பட்ட கடவுச்சொற்களைப் பதிவு செய்யப் பயன்படும் கோப்புகள்:
- "/Usr/include/sn.h",
- "/Usr/lib/mozilla/extensions/mozzlia.ini",
- "/Usr/local/share/man/man1/Openssh.1",
- "/ Etc / ssh / ssh_known_hosts2",
- "/Usr/share/boot.sync",
- "/Usr/lib/libpanel.so.a.3",
- "/Usr/lib/libcurl.a.2.1",
- "/ Var / log / utmp",
- "/Usr/share/man/man5/ttyl.5.gz",
- "/Usr/share/man/man0/.cache",
- "/Var/tmp/.pipe.sock",
- "/Etc/ssh/.sshd_auth",
- "/Usr/include/X11/sessmgr/coredump.in",
- «/ Etc / gshadow–«,
- "/Etc/X11/.pr"
சுவாரஸ்யமான கட்டுரை
கோப்பகங்களில் ஒவ்வொன்றாகத் தேடுங்கள், ஒன்றைக் கண்டுபிடித்தோம்
"/ Etc / gshadow–",
நான் அதை நீக்கினால் என்ன நடக்கும்
அந்த "gshadow" கோப்பும் எனக்குத் தோன்றுகிறது மற்றும் அதை பகுப்பாய்வு செய்ய ரூட் அனுமதிகளைக் கேட்கிறது ...