Natukoy ng ESET ang 21 nakakahamak na mga pakete na pumapalit sa OpenSSH

Kamakailan-lamang na gumawa ng post ang ESET (53 pahina ng PDF) kung saan ipinapakita nito ang mga resulta ng isang pag-scan ng ilang mga pakete ng Trojan na ang mga hacker ay na-install pagkatapos ikompromiso ang mga host ng Linux.

Ito cupang mag-iwan ng isang pintuan sa likod o hadlangan ang mga password ng gumagamit habang kumokonekta sa iba pang mga host.

Ang lahat ng mga itinuturing na variant ng software ng Trojan ay pinalitan ang OpenSSH client o mga bahagi ng proseso ng server.

Tungkol sa mga napansin na packet

ang 18 mga pagpipilian na kinilala kasama ang mga pag-andar upang maharang ang mga input na password at mga key ng pag-encrypt at 17 na ibinigay na mga pag-andar sa backdoor na pinapayagan ang isang umaatake na lihim na makakuha ng pag-access sa isang na-hack na host gamit ang isang paunang natukoy na password.

Bukod dito, lNatuklasan ng mga mananaliksik na ang isang SSH backdoor na ginamit ng mga operator ng DarkLeech ay kapareho ng ginamit ng Carbanak ilang taon na ang lumipas at ang banta ng mga aktor ay nakabuo ng isang malawak na spectrum ng pagiging kumplikado sa backdoor pagpapatupad, mula sa nakakahamak na mga programa na magagamit sa publiko. Mga protocol at sample ng network.

Paano ito naging posible?

Ang mga nakakahamak na sangkap ay na-deploy pagkatapos ng isang matagumpay na pag-atake sa system; bilang isang patakaran, ang mga umaatake ay nakakuha ng pag-access sa pamamagitan ng pagpili ng mga tipikal na password o sa pamamagitan ng pagsasamantala sa hindi naipadala na mga kahinaan sa mga aplikasyon sa web o mga driver ng server, pagkatapos na ang mga hindi napapanahong sistema ay gumamit ng mga pag-atake upang madagdagan ang kanilang mga pribilehiyo.

Ang kasaysayan ng pagkakakilanlan ng mga nakakahamak na program na ito ay nararapat pansinin.

Sa proseso ng pag-aaral ng Windigo botnet, ang mga mananaliksik binigyan ng pansin ang code upang mapalitan ang ssh sa likod ng Ebury, na bago ilunsad, na-verify ang pag-install ng iba pang mga backdoors para sa OpenSSH.

Upang makilala ang mga nakikipagkumpitensyang Trojan, isang listahan ng 40 na mga checklist ang ginamit.

Gamit ang mga pagpapaandar na ito, Natuklasan ng mga kinatawan ng ESET na marami sa kanila ang hindi sumasakop sa dating kilalang mga pintuan sa likuran at pagkatapos ay nagsimula silang maghanap ng mga nawawalang pagkakataon, kasama ang pag-deploy ng isang network ng mga mahina na server ng honeypot.

Bilang isang resulta, 21 Mga variant ng Trojan package na kinilala bilang pagpapalit sa SSH, na mananatiling nauugnay sa mga nagdaang taon.

Ano ang pagtatalo ng kawani ng ESET sa bagay na ito?

Inamin ng mga mananaliksik ng ESET na hindi nila natuklasan ang mga kumakalat na ito nang una. Ang karangalang iyon ay napupunta sa mga tagalikha ng isa pang Linux malware na tinatawag na Windigo (aka Ebury).

Sinabi ng ESET na habang pinag-aaralan ang Windigo botnet at ang gitnang backyard ng Ebury, nalaman nila na ang Ebury ay mayroong panloob na mekanismo na naghahanap ng iba pang lokal na naka-install na mga pintuan sa likod ng OpenSSH.

Ang paraan ng paggawa nito ng koponan ng Windigo, sinabi ng ESET, ay sa pamamagitan ng paggamit ng isang script ng Perl na nag-scan ng 40 mga lagda ng file (hash).

"Nang suriin namin ang mga lagda na ito, mabilis naming napagtanto na wala kaming mga sample na tumutugma sa karamihan sa mga pintuan sa likuran na inilarawan sa script," sabi ni Marc-Etienne M. Léveillé, analis ng malware ng ESET.

"Ang mga operator ng malware ay talagang may higit na kaalaman at kakayahang makita ng mga backhouse ng SSH kaysa sa ginawa namin," dagdag niya.

Ang ulat ay hindi napupunta sa mga detalye sa kung paano itanim ng mga operator ng botnet ang mga bersyon ng OpenSSH na ito sa mga nahawaang host.

Ngunit kung may natutunan tayo mula sa mga nakaraang ulat sa pagpapatakbo ng Linux malware, iyon iyon Ang mga hacker ay madalas na umaasa sa parehong mga lumang diskarte upang makakuha ng isang paanan sa mga system ng Linux:

Malupit na puwersa o pag-atake sa diksyonaryo na subukang hulaan ang mga password ng SSH. Ang paggamit ng malakas o natatanging mga password o isang sistema ng pag-filter ng IP para sa mga pag-login ng SSH ay dapat na maiwasan ang mga ganitong uri ng pag-atake.

Ang pagsasamantala sa mga kahinaan sa mga application na tumatakbo sa Linux server (halimbawa, mga web application, CMS, atbp.).

Kung ang application / serbisyo ay na-configure nang mali sa pag-access sa root o kung ang nagsasalakay ay nagsasamantala ng isang pribilehiyo na pagtaas ng pribilehiyo, ang isang karaniwang paunang pagkakamali ng hindi napapanahong mga plugin ng WordPress ay madaling mapalaki sa napapailalim na operating system.

Panatilihing napapanahon ang lahat, kapwa ang operating system at ang mga application na tumatakbo dito ay dapat na maiwasan ang ganitong uri ng pag-atake.

Se naghanda sila ng isang script at mga panuntunan para sa antivirus at isang pabagu-bagong talahanayan na may mga katangian ng bawat uri ng SSH Trojan.

Mga apektadong file sa Linux

Pati na rin mga karagdagang file na nilikha sa system at mga password para sa pag-access sa likod ng pinto, upang makilala ang mga bahagi ng OpenSSH na napalitan.

Hal sa ilang mga kaso, mga file tulad ng mga ginamit upang maitala ang mga naharang na password:

• "/Usr/include/sn.h",
• "/Usr/lib/mozilla/extensions/mozzlia.ini",
• "/Usr/local/share/man/man1/Openssh.1",
• "/ Etc / ssh / ssh_known_hosts2",
• "/Usr/share/boot.sync",
• "/Usr/lib/libpanel.so.a.3",
• "/Usr/lib/libcurl.a.2.1",
• "/ Var / log / utmp",
• "/Usr/share/man/man5/ttyl.5.gz",
• "/Usr/share/man/man0/.cache",
• "/Var/tmp/.pipe.sock",
• "/Etc/ssh/.sshd_auth",
• "/Usr/include/X11/sessmgr/coredump.in",
• «/ Etc / gshadow–«,
• "/Etc/X11/.pr"