ESET确定了21个替换OpenSSH的恶意软件包

ESET Linux

ESET最近发了一个帖子 (53页PDF) 它显示了对某些Trojan软件包的扫描结果 黑客是在破坏Linux主机后安装的。

这个c为了离开后门或拦截用户密码 同时连接到其他主机。

Trojan软件的所有已考虑的变体都替换了OpenSSH客户端或服务器进程组件。

关于检测到的数据包

确定的18个选项包括拦截输入密码和加密密钥的功能,以及17个提供的后门功能 允许攻击者使用预定义的密码秘密获得对被黑客入侵的主机的访问权限。

此外,l研究人员发现,DarkLeech操作员使用的SSH后门与Carbanak使用的后门相同 几年后,威胁参与者从后门实施中,从向公众提供的恶意程序中发展出了各种各样的复杂性。 网络协议和样本。

这怎么可能?

成功攻击系统后,便部署了恶意组件; 通常,攻击者可以通过选择典型的密码或利用Web应用程序或服务器驱动程序中未修补的漏洞来获得访问权限,然后过时的系统会利用攻击来增加其特权。

这些恶意程序的识别历史值得关注。

在分析Windigo僵尸网络的过程中,研究人员 注意将代码替换为Ebury后门程序的代码, 在启动之前,它已验证了OpenSSH其他后门的安装。

要确定竞争的特洛伊木马, 使用了40个清单的清单.

使用这些功能, ESET代表发现其中许多人没有覆盖先前已知的后门 然后他们开始寻找丢失的实例,包括通过部署易受攻击的蜜罐服务器网络。

结果是, 21种特洛伊木马程序包变种被标识为替代SSH,这在最近几年仍然很重要。

Linux_安全性

ESET员工对此事有何看法?

ESET研究人员承认,他们没有直接发现这些利差。 这一荣誉归功于另一种名为Windigo(又名Ebury)的Linux恶意软件的创造者。

ESET表示,在分析Windigo僵尸网络及其中央的Ebury后门时, 他们发现Ebury具有内部机制,可以寻找其他本地安装的OpenSSH后门。

ESET说,Windigo团队执行此操作的方式是使用Perl脚本扫描40个文件签名(哈希)。

ESET恶意软件分析师Marc-Etienne M.Léveillé说:“当我们检查这些签名时,我们很快意识到我们没有与脚本中描述的大多数后门相匹配的样本。”

他补充说:“与我们相比,恶意软件操作员实际上对SSH后门的了解和可视性更高。”

该报告未详细介绍僵尸网络运营商如何植入这些OpenSSH版本 在受感染的主机上。

但是,如果我们从以前有关Linux恶意软件操作的报告中学到了什么,那就是 黑客通常依靠相同的旧技术来在Linux系统上立足:

试图猜测SSH密码的蛮力攻击或字典攻击。 使用强或唯一的密码或IP过滤系统进行SSH登录应该可以防止这些类型的攻击。

利用Linux服务器上运行的应用程序(例如,Web应用程序,CMS等)中的漏洞。

如果应用程序/服务的根访问权限配置错误,或者攻击者利用特权升级漏洞,则过时的WordPress插件常见的初始漏洞很容易升级为底层操作系统。

通过使所有内容保持最新,操作系统和在其上运行的应用程序都应防止此类攻击。

Se 他们准备了防病毒脚本和规则以及具有每种SSH木马特征的动态表。

Linux上受影响的文件

以及在系统中创建的其他文件和用于通过后门访问的密码,以标识已替换的OpenSSH组件。

例如: 在某些情况下,例如用于记录截获的密码的文件:

  • “ /Usr/include/sn.h”,
  • “ /Usr/lib/mozilla/extensions/mozzlia.ini”,
  • “ /Usr/local/share/man/man1/Openssh.1”,
  • “ /等/ ssh / ssh_known_hosts2”,
  • “ /Usr/share/boot.sync”,
  • “ /Usr/lib/libpanel.so.a.3”,
  • “ /Usr/lib/libcurl.a.2.1”,
  • “ / Var / log / utmp”,
  • “ /Usr/share/man/man5/ttyl.5.gz”,
  • “ /Usr/share/man/man0/.cache”,
  • “ /Var/tmp/.pipe.sock”,
  • “ /Etc/ssh/.sshd_auth”,
  • “ /Usr/include/X11/sessmgr/coredump.in”,
  • «/ Etc / gshadow–«,
  • “ /Etc/X11/.pr”

2条评论,留下您的评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责资料:AB Internet Networks 2008 SL
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。

  1.   昵称89

    有趣的文章
    在目录中一一搜索,找到一个
    “ /等/ gshadow–”,
    如果我删除它会发生什么

  2.   乔治

    该“ gshadow”文件对我来说也出现了,并要求获得root用户权限才能对其进行分析...