ESET, OpenSSH'nin yerini alan 21 kötü amaçlı paket belirledi

Darkcrizt

4 minutos

ESET Linux

ESET kısa süre önce bir gönderi yaptı (53 sayfalık PDF) bazı Truva atı paketlerinin taranmasının sonuçlarını gösterir bilgisayar korsanlarının Linux ana bilgisayarlarının güvenliğini ihlal ettikten sonra yüklendiğini.

Bu cbir arka kapı bırakmak veya kullanıcı şifrelerini engellemek için diğer ana bilgisayarlara bağlanırken.

Trojan yazılımının tüm dikkate alınan varyantları, OpenSSH istemci veya sunucu işlem bileşenlerinin yerini aldı.

Algılanan paketler hakkında

W Tanımlanan 18 seçenek, giriş parolalarını ve şifreleme anahtarlarını engelleyen işlevler ve sağlanan 17 arka kapı işlevi dahil bir saldırganın önceden tanımlanmış bir parola kullanarak saldırıya uğramış bir ana bilgisayara gizlice erişim sağlamasına olanak tanır.

Ayrıca, lAraştırmacılar, DarkLeech operatörleri tarafından kullanılan bir SSH arka kapısının Carbanak tarafından kullanılanla aynı olduğunu keşfetti. birkaç yıl sonra ve bu tehdit aktörleri, kamuya açık kötü amaçlı programlardan arka kapı dağıtımlarında geniş bir karmaşıklık yelpazesi geliştirdiler. Ağ protokolleri ve örnekleri.

Bu nasıl mümkün oldu?

Sisteme yapılan başarılı bir saldırının ardından kötü amaçlı bileşenler dağıtıldı; Kural olarak saldırganlar, tipik şifrelerin seçilmesiyle veya web uygulamalarındaki veya sunucu sürücülerindeki yamalanmamış güvenlik açıklarından yararlanarak erişim elde ettiler ve ardından eski sistemler, ayrıcalıklarını artırmak için saldırıları kullandı.

Bu kötü amaçlı programların kimlik geçmişi, dikkati hak ediyor.

Windigo botnetini analiz etme sürecinde, araştırmacılar ssh'yi Ebury arka kapısıyla değiştirmek için koda dikkat etti, lansmandan önce, OpenSSH için diğer arka kapıların kurulumunu doğruladı.

Rakip Truva atlarını belirlemek için, 40 kontrol listesinden oluşan bir liste kullanıldı.

Bu işlevleri kullanarak, ESET temsilcileri, birçoğunun önceden bilinen arka kapıları kapatmadığını tespit etti ve sonra, savunmasız honeypot sunucularından oluşan bir ağ dağıtmak da dahil olmak üzere, eksik örnekleri aramaya başladılar.

Sonuç olarak, SSH'nin yerini aldığı belirlenen 21 Truva atı paketi varyantları, son yıllarda alakalı olmaya devam ediyor.

Linux_Güvenlik

ESET personeli bu konuda ne düşünüyor?

ESET araştırmacıları, bu yayılmaları ilk elden keşfetmediklerini itiraf ettiler. Bu onur, Windigo (aka Ebury) adlı başka bir Linux kötü amaçlı yazılımının yaratıcılarına aittir.

ESET, Windigo botnet ve merkezi Ebury arka kapısını analiz ederken, Ebury'nin diğer yerel olarak kurulmuş OpenSSH arka kapıları arayan bir dahili mekanizmaya sahip olduğunu buldular.

ESET, Windigo ekibinin bunu yapma şeklinin 40 dosya imzasını (karma) tarayan bir Perl komut dosyası kullanmak olduğunu söyledi.

ESET kötü amaçlı yazılım analisti Marc-Etienne M. Léveillé, "Bu imzaları incelediğimizde, komut dosyasında açıklanan arka kapıların çoğuyla eşleşen hiçbir örneğimizin olmadığını hemen fark ettik," dedi.

"Kötü amaçlı yazılım operatörleri aslında SSH arka kapıları hakkında bizden daha fazla bilgiye ve görünürlüğe sahipti" diye ekledi.

Rapor, botnet operatörlerinin bu OpenSSH sürümlerini nasıl yerleştirdiklerine dair ayrıntılara girmiyor. virüslü ana bilgisayarlarda.

Ancak, Linux kötü amaçlı yazılım işlemleriyle ilgili önceki raporlardan bir şey öğrendiysek, Bilgisayar korsanları, Linux sistemlerinde bir yer edinmek için genellikle aynı eski tekniklere güvenirler:

SSH şifrelerini tahmin etmeye çalışan kaba kuvvet veya sözlük saldırıları. SSH oturum açma işlemleri için güçlü veya benzersiz parolalar veya bir IP filtreleme sistemi kullanmak, bu tür saldırıları önlemelidir.

Linux sunucusunda çalışan uygulamalardaki güvenlik açıklarından yararlanma (örneğin, web uygulamaları, CMS, vb.).

Uygulama / hizmet, kök erişimiyle yanlış yapılandırılmışsa veya saldırgan bir ayrıcalık yükseltme kusurundan yararlanırsa, eski WordPress eklentilerinin yaygın bir ilk kusuru kolayca temeldeki işletim sistemine yükseltilebilir.

Her şeyin güncel tutulması, hem işletim sistemi hem de üzerinde çalışan uygulamalar bu tür saldırıları önlemelidir.

Se antivirüs için bir komut dosyası ve kurallar ve her tür SSH Truva Atının özelliklerini içeren dinamik bir tablo hazırladılar.

Linux'ta etkilenen dosyalar

Değiştirilen OpenSSH bileşenlerini tanımlamak için sistemde oluşturulan ek dosyalar ve arka kapıdan erişim için şifreler.

Örnek bazı durumlarda, ele geçirilen şifreleri kaydetmek için kullanılanlar gibi dosyalar:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etc / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Etc / gshadow–«,
  • "/Etc/X11/.pr"

Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: AB Internet Networks 2008 SL
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.

  1.   nickd89 dijo
    önce 5 yıl

    Ilginç yazı
    dizinlerde tek tek arayın ve bir tane bulun
    "/ Etc / gshadow–",
    onu silersem ne olacak

    Nickd89 için yanıt
  2.   Jorge dijo
    önce 5 yıl

    Bu "gshadow" dosyası da bana geliyor ve onu analiz etmek için kök izinleri istiyor ...

    Jorge için yanıtla