ESET เพิ่งโพสต์ (53 หน้า PDF) ซึ่งจะแสดงผลลัพธ์ของการสแกนแพ็คเกจโทรจันบางอย่าง แฮกเกอร์ได้รับการติดตั้งหลังจากโจมตีโฮสต์ Linux
ค. นี้เพื่อออกจากประตูหลังหรือสกัดกั้นรหัสผ่านของผู้ใช้ ในขณะที่เชื่อมต่อกับโฮสต์อื่น
ซอฟต์แวร์โทรจันที่ได้รับการพิจารณาทั้งหมดได้เข้ามาแทนที่ไคลเอ็นต์ OpenSSH หรือส่วนประกอบกระบวนการของเซิร์ฟเวอร์
เกี่ยวกับแพ็กเก็ตที่ตรวจพบ
ลา 18 ตัวเลือกระบุฟังก์ชันที่รวมไว้เพื่อสกัดกั้นรหัสผ่านเข้าและคีย์การเข้ารหัสและ 17 ฟังก์ชันแบ็คดอร์ที่มีให้ ที่อนุญาตให้ผู้โจมตีแอบเข้าถึงโฮสต์ที่ถูกแฮ็กโดยใช้รหัสผ่านที่กำหนดไว้ล่วงหน้า
นอกจากนี้ลนักวิจัยค้นพบว่าแบ็คดอร์ SSH ที่ใช้โดยผู้ให้บริการ DarkLeech นั้นเหมือนกับที่ Carbanak ใช้ ไม่กี่ปีต่อมาและผู้ก่อภัยคุกคามได้พัฒนาความซับซ้อนในการใช้งานลับๆมากมายตั้งแต่โปรแกรมที่เป็นอันตรายที่เปิดเผยต่อสาธารณะ โปรโตคอลเครือข่ายและตัวอย่าง
มันเป็นไปได้อย่างไร?
คอมโพเนนต์ที่เป็นอันตรายถูกทำให้ใช้งานได้หลังจากการโจมตีระบบสำเร็จ; ตามกฎแล้วผู้โจมตีสามารถเข้าถึงได้โดยการเลือกรหัสผ่านทั่วไปหรือโดยการใช้ประโยชน์จากช่องโหว่ที่ไม่ได้แพตช์ในเว็บแอปพลิเคชันหรือไดรเวอร์เซิร์ฟเวอร์หลังจากนั้นระบบที่ล้าสมัยใช้การโจมตีเพื่อเพิ่มสิทธิ์ของตน
ประวัติการระบุโปรแกรมที่เป็นอันตรายเหล่านี้สมควรได้รับความสนใจ
ในกระบวนการวิเคราะห์บอตเน็ต Windigo นักวิจัย ให้ความสนใจกับรหัสเพื่อแทนที่ ssh ด้วย Ebury backdoor ซึ่งก่อนเปิดตัวให้ตรวจสอบการติดตั้งแบ็คดอร์อื่น ๆ สำหรับ OpenSSH
เพื่อระบุโทรจันที่แข่งขันกัน มีการใช้รายการตรวจสอบ 40 รายการ.
การใช้ฟังก์ชันเหล่านี้ ตัวแทนของ ESET พบว่าหลายคนไม่ครอบคลุมประตูหลังที่รู้จักกันก่อนหน้านี้ จากนั้นพวกเขาก็เริ่มมองหาอินสแตนซ์ที่หายไปรวมถึงการปรับใช้เครือข่ายของเซิร์ฟเวอร์ honeypot ที่มีช่องโหว่
เป็นผลให้ แพคเกจโทรจัน 21 สายพันธุ์ที่ระบุว่าแทนที่ SSHซึ่งยังคงมีความเกี่ยวข้องในช่วงไม่กี่ปีที่ผ่านมา
เจ้าหน้าที่ ESET โต้แย้งอะไรในเรื่องนี้?
นักวิจัยของ ESET ยอมรับว่าพวกเขาไม่ได้ค้นพบสเปรดเหล่านี้โดยตรง เกียรติยศดังกล่าวมอบให้กับผู้สร้างมัลแวร์ Linux อื่นที่เรียกว่า Windigo (aka Ebury)
ESET กล่าวว่าในขณะที่วิเคราะห์บอตเน็ต Windigo และแบ็คดอร์กลางของ Ebury พวกเขาพบว่า Ebury มีกลไกภายในที่มองหาแบ็คดอร์ OpenSSH อื่น ๆ ที่ติดตั้งในเครื่อง
วิธีที่ทีม Windigo ทำสิ่งนี้ ESET กล่าวคือการใช้สคริปต์ Perl ที่สแกนลายเซ็นไฟล์ 40 ไฟล์ (แฮช)
"เมื่อเราตรวจสอบลายเซ็นเหล่านี้เราตระหนักได้อย่างรวดเร็วว่าเราไม่มีตัวอย่างที่ตรงกับประตูหลังส่วนใหญ่ที่อธิบายไว้ในสคริปต์" Marc-Etienne M. Léveilléนักวิเคราะห์มัลแวร์ของ ESET กล่าว
"ผู้ให้บริการมัลแวร์มีความรู้และการมองเห็นแบ็คดอร์ SSH มากกว่าที่เราเคยทำ" เขากล่าวเสริม
รายงานไม่ได้ลงรายละเอียดเกี่ยวกับวิธีการที่ผู้ให้บริการบ็อตเน็ตสร้างเวอร์ชัน OpenSSH เหล่านี้ บนโฮสต์ที่ติดเชื้อ
แต่ถ้าเราได้เรียนรู้อะไรจากรายงานก่อนหน้านี้เกี่ยวกับการทำงานของมัลแวร์ Linux ก็เป็นเช่นนั้น แฮกเกอร์มักใช้เทคนิคเดิม ๆ ในการตั้งหลักบนระบบ Linux:
การโจมตีแบบดุร้ายหรือพจนานุกรมที่พยายามเดารหัสผ่าน SSH การใช้รหัสผ่านที่รัดกุมหรือไม่ซ้ำใครหรือระบบกรอง IP สำหรับการเข้าสู่ระบบ SSH ควรป้องกันการโจมตีประเภทนี้
การใช้ประโยชน์จากช่องโหว่ในแอปพลิเคชันที่ทำงานบนเซิร์ฟเวอร์ Linux (ตัวอย่างเช่นเว็บแอปพลิเคชัน CMS เป็นต้น)
หากแอปพลิเคชัน / บริการได้รับการกำหนดค่าไม่ถูกต้องด้วยการเข้าถึงรูทหรือหากผู้โจมตีใช้ประโยชน์จากข้อบกพร่องในการเพิ่มสิทธิพิเศษข้อบกพร่องเริ่มต้นทั่วไปของปลั๊กอิน WordPress ที่ล้าสมัยสามารถส่งต่อไปยังระบบปฏิบัติการ
การอัปเดตทุกอย่างให้เป็นปัจจุบันทั้งระบบปฏิบัติการและแอปพลิเคชันที่ทำงานอยู่ควรป้องกันการโจมตีประเภทนี้
Se พวกเขาเตรียมสคริปต์และกฎสำหรับโปรแกรมป้องกันไวรัสและตารางไดนามิกที่มีลักษณะของโทรจัน SSH แต่ละประเภท
ไฟล์ที่ได้รับผลกระทบบน Linux
เช่นเดียวกับไฟล์เพิ่มเติมที่สร้างขึ้นในระบบและรหัสผ่านสำหรับการเข้าถึงผ่านประตูหลังเพื่อระบุส่วนประกอบ OpenSSH ที่ถูกแทนที่
เช่น ในบางกรณีไฟล์เช่นไฟล์ที่ใช้บันทึกรหัสผ่านที่ถูกดักฟัง:
- "/Usr/include/sn.h",
- "/Usr/lib/mozilla/extensions/mozzlia.ini",
- "/Usr/local/share/man/man1/Openssh.1",
- "/ etc / ssh / ssh_known_hosts2",
- "/Usr/share/boot.sync",
- "/Usr/lib/libpanel.so.a.3",
- "/Usr/lib/libcurl.a.2.1",
- "/ Var / log / utmp",
- "/Usr/share/man/man5/ttyl.5.gz",
- "/Usr/share/man/man0/.cache",
- "/Var/tmp/.pipe.sock",
- "/Etc/ssh/.sshd_auth",
- "/Usr/include/X11/sessmgr/coredump.in",
- « / Etc / gshadow– «,
- "/Etc/X11/.pr"
บทความที่น่าสนใจ
ค้นหาทีละรายการในไดเรกทอรีและพบหนึ่งรายการ
"/ etc / gshadow–",
จะเกิดอะไรขึ้นถ้าฉันลบมัน
ไฟล์ "gshadow" นั้นก็ปรากฏให้ฉันเห็นและขอสิทธิ์ root เพื่อวิเคราะห์ ...