ESET виявив 21 шкідливий пакет, який замінює OpenSSH

Darkcrizt

4 хвилин

ESET Linux

ESET нещодавно зробив допис (53 сторінки PDF) де він показує результати сканування деяких троянських пакетів що хакери були встановлені після компрометації хостів Linux.

Це сщоб залишити задні двері або перехопити паролі користувачів під час підключення до інших хостів.

Усі розглянуті варіанти троянських програм замінили компоненти клієнтського або серверного процесу OpenSSH.

Про виявлені пакети

The Визначено 18 варіантів, що включають функції перехоплення вхідних паролів та ключів шифрування та 17 передбачених функцій бекдору які дозволяють зловмиснику таємно отримати доступ до зламаного хосту за допомогою попередньо визначеного пароля.

Крім того, lДослідники виявили, що бэкдор SSH, що використовується операторами DarkLeech, такий самий, як і той, який використовував Carbanak кілька років потому, і що актори загроз розробили широкий спектр складних реалізацій, починаючи від шкідливих програм, доступних для громадськості. Мережеві протоколи та зразки.

Як це було можливо?

Шкідливі компоненти були розгорнуті після успішної атаки на систему; як правило, зловмисники отримували доступ за допомогою типового вибору пароля або використання невиправлених вразливостей у веб-додатках або драйверах серверів, після чого застарілі системи використовували атаки для збільшення своїх привілеїв.

Історія ідентифікації цих шкідливих програм заслуговує на увагу.

В процесі аналізу ботнету Віндіго дослідники звернув увагу на код для заміни ssh на бэкдор Ebury, який до запуску перевірив встановлення інших бэкдорів для OpenSSH.

Щоб визначити конкуруючих троянців, було використано список із 40 контрольних списків.

Використовуючи ці функції, Представники ESET виявили, що багато з них не охоплювали відомих раніше чорних дверей а потім вони почали шукати зниклі екземпляри, в тому числі шляхом розгортання мережі вразливих серверів Honeypot.

В результаті, 21 варіант троянських пакетів, визначений як заміна SSH, які залишаються актуальними в останні роки.

Linux_Security

Що сперечаються співробітники ESET з цього приводу?

Дослідники ESET визнали, що вони не виявили цих спредів з перших вуст. Ця честь належить творцям іншого зловмисного програмного забезпечення Linux під назвою Windigo (він же Ebury).

ESET каже, що, аналізуючи ботнет Windigo та його центральний бэкдор Ebury, вони виявили, що Ебері мав внутрішній механізм, який шукав інші локально встановлені бекдори OpenSSH.

ESET сказав, що команда Windigo зробила це за допомогою скрипта Perl, який відсканував 40 підписів файлів (хешів).

"Коли ми вивчили ці підписи, ми швидко зрозуміли, що не маємо зразків, які б відповідали більшості задніх дверей, описаних у сценарії", - сказав Марк-Етьєн М. Левеле, аналітик шкідливих програм ESET.

"Оператори зловмисного програмного забезпечення насправді мали більше знань і видимості SSH-дверей, ніж ми", - додав він.

У звіті не йдеться про подробиці того, як оператори ботнетів встановлюють ці версії OpenSSH на заражених хостах.

Але якщо ми щось дізналися з попередніх звітів про операції з шкідливим програмним забезпеченням Linux, це все Хакери часто покладаються на ті самі старі методи, щоб закріпитися в системах Linux:

Груба сила або словникові атаки, які намагаються вгадати паролі SSH. Використання надійних або унікальних паролів або системи фільтрації IP для входів SSH має запобігти подібним типам атак.

Використання вразливостей у додатках, що працюють на сервері Linux (наприклад, веб-додатки, CMS тощо).

Якщо програма / служба була неправильно налаштована з кореневим доступом або якщо зловмисник використовує недолік ескалації привілеїв, загальний початковий недолік застарілих плагінів WordPress може бути легко перенесений в базову операційну систему.

Постійне оновлення всього, як операційна система, так і додатки, що працюють на ній, повинні запобігати цьому типу атак.

Se вони підготували сценарій та правила для антивірусу та динамічну таблицю з характеристиками кожного типу SSH-троянських програм.

Постраждалі файли в Linux

А також додаткові файли, створені в системі, та паролі для доступу через задні двері для ідентифікації компонентів OpenSSH, які були замінені.

Наприклад, в деяких випадках файли, такі як ті, що використовуються для запису перехоплених паролів:

  • "/Usr/include/sn.h",
  • "/Usr/lib/mozilla/extensions/mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ Etc / ssh / ssh_known_hosts2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ Var / log / utmp",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/include/X11/sessmgr/coredump.in",
  • «/ Etc / gshadow–«,
  • "/Etc/X11/.pr"

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: AB Internet Networks 2008 SL
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   nickd89 - сказав він
    тому 5 років

    цікава стаття
    шукати по одному в каталогах і знайшов один
    "/ Etc / gshadow–",
    що станеться, якщо я його видалю

    Відповісти nickd89
  2.   Хорхе - сказав він
    тому 5 років

    Цей файл "gshadow" також з'являється для мене і просить дозволу root для його аналізу ...

    Відповісти Хорхе