ESET ระบุแพ็คเกจที่เป็นอันตราย 21 แพ็กเกจที่มาแทนที่ OpenSSH

ESET เพิ่งโพสต์ (53 หน้า PDF) ซึ่งจะแสดงผลลัพธ์ของการสแกนแพ็คเกจโทรจันบางอย่าง แฮกเกอร์ได้รับการติดตั้งหลังจากโจมตีโฮสต์ Linux

ค. นี้เพื่อออกจากประตูหลังหรือสกัดกั้นรหัสผ่านของผู้ใช้ ในขณะที่เชื่อมต่อกับโฮสต์อื่น

ซอฟต์แวร์โทรจันที่ได้รับการพิจารณาทั้งหมดได้เข้ามาแทนที่ไคลเอ็นต์ OpenSSH หรือส่วนประกอบกระบวนการของเซิร์ฟเวอร์

เกี่ยวกับแพ็กเก็ตที่ตรวจพบ

ลา 18 ตัวเลือกระบุฟังก์ชันที่รวมไว้เพื่อสกัดกั้นรหัสผ่านเข้าและคีย์การเข้ารหัสและ 17 ฟังก์ชันแบ็คดอร์ที่มีให้ ที่อนุญาตให้ผู้โจมตีแอบเข้าถึงโฮสต์ที่ถูกแฮ็กโดยใช้รหัสผ่านที่กำหนดไว้ล่วงหน้า

นอกจากนี้ลนักวิจัยค้นพบว่าแบ็คดอร์ SSH ที่ใช้โดยผู้ให้บริการ DarkLeech นั้นเหมือนกับที่ Carbanak ใช้ ไม่กี่ปีต่อมาและผู้ก่อภัยคุกคามได้พัฒนาความซับซ้อนในการใช้งานลับๆมากมายตั้งแต่โปรแกรมที่เป็นอันตรายที่เปิดเผยต่อสาธารณะ โปรโตคอลเครือข่ายและตัวอย่าง

มันเป็นไปได้อย่างไร?

คอมโพเนนต์ที่เป็นอันตรายถูกทำให้ใช้งานได้หลังจากการโจมตีระบบสำเร็จ; ตามกฎแล้วผู้โจมตีสามารถเข้าถึงได้โดยการเลือกรหัสผ่านทั่วไปหรือโดยการใช้ประโยชน์จากช่องโหว่ที่ไม่ได้แพตช์ในเว็บแอปพลิเคชันหรือไดรเวอร์เซิร์ฟเวอร์หลังจากนั้นระบบที่ล้าสมัยใช้การโจมตีเพื่อเพิ่มสิทธิ์ของตน

ประวัติการระบุโปรแกรมที่เป็นอันตรายเหล่านี้สมควรได้รับความสนใจ

ในกระบวนการวิเคราะห์บอตเน็ต Windigo นักวิจัย ให้ความสนใจกับรหัสเพื่อแทนที่ ssh ด้วย Ebury backdoor ซึ่งก่อนเปิดตัวให้ตรวจสอบการติดตั้งแบ็คดอร์อื่น ๆ สำหรับ OpenSSH

เพื่อระบุโทรจันที่แข่งขันกัน มีการใช้รายการตรวจสอบ 40 รายการ.

การใช้ฟังก์ชันเหล่านี้ ตัวแทนของ ESET พบว่าหลายคนไม่ครอบคลุมประตูหลังที่รู้จักกันก่อนหน้านี้ จากนั้นพวกเขาก็เริ่มมองหาอินสแตนซ์ที่หายไปรวมถึงการปรับใช้เครือข่ายของเซิร์ฟเวอร์ honeypot ที่มีช่องโหว่

เป็นผลให้ แพคเกจโทรจัน 21 สายพันธุ์ที่ระบุว่าแทนที่ SSHซึ่งยังคงมีความเกี่ยวข้องในช่วงไม่กี่ปีที่ผ่านมา

เจ้าหน้าที่ ESET โต้แย้งอะไรในเรื่องนี้?

นักวิจัยของ ESET ยอมรับว่าพวกเขาไม่ได้ค้นพบสเปรดเหล่านี้โดยตรง เกียรติยศดังกล่าวมอบให้กับผู้สร้างมัลแวร์ Linux อื่นที่เรียกว่า Windigo (aka Ebury)

ESET กล่าวว่าในขณะที่วิเคราะห์บอตเน็ต Windigo และแบ็คดอร์กลางของ Ebury พวกเขาพบว่า Ebury มีกลไกภายในที่มองหาแบ็คดอร์ OpenSSH อื่น ๆ ที่ติดตั้งในเครื่อง

วิธีที่ทีม Windigo ทำสิ่งนี้ ESET กล่าวคือการใช้สคริปต์ Perl ที่สแกนลายเซ็นไฟล์ 40 ไฟล์ (แฮช)

"เมื่อเราตรวจสอบลายเซ็นเหล่านี้เราตระหนักได้อย่างรวดเร็วว่าเราไม่มีตัวอย่างที่ตรงกับประตูหลังส่วนใหญ่ที่อธิบายไว้ในสคริปต์" Marc-Etienne M. Léveilléนักวิเคราะห์มัลแวร์ของ ESET กล่าว

"ผู้ให้บริการมัลแวร์มีความรู้และการมองเห็นแบ็คดอร์ SSH มากกว่าที่เราเคยทำ" เขากล่าวเสริม

รายงานไม่ได้ลงรายละเอียดเกี่ยวกับวิธีการที่ผู้ให้บริการบ็อตเน็ตสร้างเวอร์ชัน OpenSSH เหล่านี้ บนโฮสต์ที่ติดเชื้อ

แต่ถ้าเราได้เรียนรู้อะไรจากรายงานก่อนหน้านี้เกี่ยวกับการทำงานของมัลแวร์ Linux ก็เป็นเช่นนั้น แฮกเกอร์มักใช้เทคนิคเดิม ๆ ในการตั้งหลักบนระบบ Linux:

การโจมตีแบบดุร้ายหรือพจนานุกรมที่พยายามเดารหัสผ่าน SSH การใช้รหัสผ่านที่รัดกุมหรือไม่ซ้ำใครหรือระบบกรอง IP สำหรับการเข้าสู่ระบบ SSH ควรป้องกันการโจมตีประเภทนี้

การใช้ประโยชน์จากช่องโหว่ในแอปพลิเคชันที่ทำงานบนเซิร์ฟเวอร์ Linux (ตัวอย่างเช่นเว็บแอปพลิเคชัน CMS เป็นต้น)

หากแอปพลิเคชัน / บริการได้รับการกำหนดค่าไม่ถูกต้องด้วยการเข้าถึงรูทหรือหากผู้โจมตีใช้ประโยชน์จากข้อบกพร่องในการเพิ่มสิทธิพิเศษข้อบกพร่องเริ่มต้นทั่วไปของปลั๊กอิน WordPress ที่ล้าสมัยสามารถส่งต่อไปยังระบบปฏิบัติการ

การอัปเดตทุกอย่างให้เป็นปัจจุบันทั้งระบบปฏิบัติการและแอปพลิเคชันที่ทำงานอยู่ควรป้องกันการโจมตีประเภทนี้

Se พวกเขาเตรียมสคริปต์และกฎสำหรับโปรแกรมป้องกันไวรัสและตารางไดนามิกที่มีลักษณะของโทรจัน SSH แต่ละประเภท

ไฟล์ที่ได้รับผลกระทบบน Linux

เช่นเดียวกับไฟล์เพิ่มเติมที่สร้างขึ้นในระบบและรหัสผ่านสำหรับการเข้าถึงผ่านประตูหลังเพื่อระบุส่วนประกอบ OpenSSH ที่ถูกแทนที่

เช่น ในบางกรณีไฟล์เช่นไฟล์ที่ใช้บันทึกรหัสผ่านที่ถูกดักฟัง:

• "/Usr/include/sn.h",
• "/Usr/lib/mozilla/extensions/mozzlia.ini",
• "/Usr/local/share/man/man1/Openssh.1",
• "/ etc / ssh / ssh_known_hosts2",
• "/Usr/share/boot.sync",
• "/Usr/lib/libpanel.so.a.3",
• "/Usr/lib/libcurl.a.2.1",
• "/ Var / log / utmp",
• "/Usr/share/man/man5/ttyl.5.gz",
• "/Usr/share/man/man0/.cache",
• "/Var/tmp/.pipe.sock",
• "/Etc/ssh/.sshd_auth",
• "/Usr/include/X11/sessmgr/coredump.in",
• « / Etc / gshadow– «,
• "/Etc/X11/.pr"