ESET đã xác định được 21 gói độc hại thay thế OpenSSH

ESET gần đây đã thực hiện một bài đăng (53 trang PDF) nơi nó hiển thị kết quả quét một số gói Trojan mà tin tặc đã cài đặt sau khi xâm nhập máy chủ Linux.

Này cđể mở cửa sau hoặc chặn mật khẩu người dùng trong khi kết nối với các máy chủ khác.

Tất cả các biến thể được coi là của phần mềm Trojan đã thay thế các thành phần quy trình máy khách hoặc máy chủ OpenSSH.

Giới thiệu về các gói được phát hiện

các 18 tùy chọn được xác định các chức năng bao gồm để chặn mật khẩu đầu vào và khóa mã hóa và 17 chức năng cửa hậu được cung cấp cho phép kẻ tấn công bí mật có được quyền truy cập vào máy chủ bị tấn công bằng mật khẩu được xác định trước.

Hơn nữa, lCác nhà nghiên cứu phát hiện ra rằng một cửa hậu SSH được sử dụng bởi các nhà điều hành DarkLamonds cũng giống như một cửa hậu được sử dụng bởi Carbanak một vài năm sau đó và các tác nhân đe dọa đó đã phát triển nhiều phức tạp trong việc triển khai backdoor, từ các chương trình độc hại có sẵn cho công chúng. Các giao thức mạng và mẫu.

Làm thế nào điều này có thể được?

Các thành phần độc hại đã được triển khai sau một cuộc tấn công thành công vào hệ thống; như một quy luật, những kẻ tấn công có được quyền truy cập thông qua lựa chọn mật khẩu điển hình hoặc bằng cách khai thác các lỗ hổng chưa được vá trong các ứng dụng web hoặc trình điều khiển máy chủ, sau đó các hệ thống lỗi thời sử dụng các cuộc tấn công để tăng đặc quyền của chúng.

Lịch sử nhận dạng của các chương trình độc hại này đáng được quan tâm.

Trong quá trình phân tích mạng botnet Windigo, các nhà nghiên cứu chú ý đến mã để thay thế ssh bằng Ebury backdoor, mà trước khi khởi chạy, đã xác minh việc cài đặt các cửa hậu khác cho OpenSSH.

Để xác định các Trojan cạnh tranh, một danh sách gồm 40 danh sách kiểm tra đã được sử dụng.

Sử dụng các chức năng này, Các đại diện của ESET nhận thấy rằng nhiều người trong số họ không bao gồm các cửa sau đã biết trước đây và sau đó họ bắt đầu tìm kiếm các trường hợp bị thiếu, bao gồm cả việc triển khai một mạng lưới các máy chủ honeypot dễ bị tấn công.

Kết quả là 21 biến thể gói Trojan được xác định là thay thế SSH, vẫn còn phù hợp trong những năm gần đây.

Nhân viên ESET tranh luận gì về vấn đề này?

Các nhà nghiên cứu của ESET thừa nhận rằng họ đã không trực tiếp phát hiện ra những lây lan này. Vinh dự đó thuộc về những người tạo ra một phần mềm độc hại Linux khác có tên Windigo (hay còn gọi là Ebury).

ESET nói rằng trong khi phân tích mạng botnet Windigo và cửa hậu Ebury trung tâm của nó, họ phát hiện ra rằng Ebury có một cơ chế nội bộ tìm kiếm các cửa sau OpenSSH được cài đặt cục bộ khác.

Cách mà nhóm Windigo thực hiện điều này, ESET cho biết, là bằng cách sử dụng tập lệnh Perl quét 40 chữ ký tệp (băm).

Marc-Etienne M. Léveillé, nhà phân tích phần mềm độc hại của ESET cho biết: “Khi chúng tôi kiểm tra các chữ ký này, chúng tôi nhanh chóng nhận ra rằng chúng tôi không có mẫu nào khớp với hầu hết các cửa sau được mô tả trong kịch bản”.

"Các nhà khai thác phần mềm độc hại thực sự có nhiều kiến ​​thức và khả năng hiển thị về các cửa hậu SSH hơn chúng tôi," ông nói thêm.

Báo cáo không đi sâu vào chi tiết về cách các nhà khai thác mạng botnet thực hiện các phiên bản OpenSSH này trên các vật chủ bị nhiễm bệnh.

Nhưng nếu chúng tôi đã học được bất cứ điều gì từ các báo cáo trước đây về hoạt động của phần mềm độc hại trên Linux, thì đó là Tin tặc thường dựa vào các kỹ thuật cũ tương tự để có được chỗ đứng trên các hệ thống Linux:

Các cuộc tấn công vũ phu hoặc từ điển cố gắng đoán mật khẩu SSH. Sử dụng mật khẩu mạnh hoặc duy nhất hoặc hệ thống lọc IP cho thông tin đăng nhập SSH sẽ ngăn chặn các loại tấn công này.

Khai thác lỗ hổng trong các ứng dụng chạy trên máy chủ Linux (ví dụ: ứng dụng web, CMS, v.v.).

Nếu ứng dụng / dịch vụ đã được định cấu hình sai với quyền truy cập root hoặc nếu kẻ tấn công khai thác lỗ hổng nâng cấp đặc quyền, một lỗ hổng ban đầu phổ biến của các plugin WordPress lỗi thời có thể dễ dàng được chuyển sang hệ điều hành cơ bản.

Luôn cập nhật mọi thứ, cả hệ điều hành và các ứng dụng chạy trên đó sẽ ngăn chặn được kiểu tấn công này.

Se họ đã chuẩn bị một tập lệnh và quy tắc cho phần mềm chống vi-rút và một bảng động với các đặc điểm của từng loại SSH Trojan.

Tệp bị ảnh hưởng trên Linux

Cũng như các tệp bổ sung được tạo trong hệ thống và mật khẩu để truy cập qua cửa sau, để xác định các thành phần OpenSSH đã được thay thế.

Ví dụ: trong một số trường hợp, các tệp như tệp được sử dụng để ghi lại mật khẩu bị chặn:

• "/Usr/include/sn.h",
• "/Usr/lib/mozilla/extensions/mozzlia.ini",
• "/Usr/local/share/man/man1/Openssh.1",
• "/ Etc / ssh / ssh_known_hosts2",
• "/Usr/share/boot.sync",
• "/Usr/lib/libpanel.so.a.3",
• "/Usr/lib/libcurl.a.2.1",
• "/ Var / log / utmp",
• "/Usr/share/man/man5/ttyl.5.gz",
• "/Usr/share/man/man0/.cache",
• "/Var/tmp/.pipe.sock",
• "/Etc/ssh/.sshd_auth",
• "/Usr/include/X11/sessmgr/coredump.in",
• «/ Etc / gshadow–«,
• "/Etc/X11/.pr"