ESET確定了21個替換OpenSSH的惡意軟件包

ESET最近發布了一份出版物 （53頁PDF） 其中顯示了一些木馬程序包的分析結果 這些是黑客在入侵 Linux 主機後安裝的。

這個c為了留下後門或攔截用戶密碼 連接到其他主機時。

所有考慮的木馬軟件變體都替換了 OpenSSH 客戶端或服務器進程的組件。

關於檢測到的數據包

該 18 個已識別選項包括攔截登錄密碼和加密密鑰的功能以及 17 個提供的後門功能 允許攻擊者使用預定義的密碼秘密訪問被黑客攻擊的主機。

此外，l研究人員發現 DarkLeech 操作者使用的 SSH 後門與 Carbanak 使用的後門相同 幾年後，威脅行為者利用公開的惡意軟件開發了一系列複雜的後門部署。 示例和網絡協議。

這怎麼可能？

成功攻擊系統後部署惡意組件; 通常，攻擊者通過典型的密碼竊取或利用 Web 應用程序或服務器驅動程序中未修補的漏洞來獲得訪問權限，然後過時的系統使用攻擊來增加其權限。

這些惡意程序的識別歷史值得關注。

在分析 Windigo 殭屍網絡的過程中，研究人員 注意用 Ebury 後門替換 ssh 的代碼， 在發布之前，它驗證了OpenSSH其他後門的安裝。

為了識別競爭木馬， 使用了 40 個清單.

使用這些函數， ESET 代表發現其中許多並沒有涵蓋以前已知的後門 然後他們開始尋找丟失的實例，包括部署易受攻擊的蜜罐服務器網絡。

結果， 已識別出 21 個替代 SSH 的木馬數據包變種，近年來仍然具有相關性。

ESET 員工對此事有何看法？

ESET 研究人員承認，他們並未直接發現這些傳播。 這一榮譽頒給了另一種名為 Windigo（也稱為 Ebury）的 Linux 惡意軟件的創建者。

ESET 表示，在分析 Windigo 殭屍網絡及其中央 Ebury 後門時， 發現 Ebury 有一個內部機制，可以尋找其他本地安裝的 OpenSSH 後門。

ESET 表示，Windigo 團隊的做法是使用 Perl 腳本掃描 40 個文件簽名（哈希值）。

“當我們檢查這些簽名時，我們很快意識到我們沒有與腳本中描述的大多數後門相匹配的樣本，”ESET 惡意軟件分析師 Marc-Etienne M. Léveillé 說。

“惡意軟件操作者實際上比我們更了解 SSH 後門，”他補充道。

該報告沒有詳細說明殭屍網絡運營商如何植入這些 OpenSSH 版本。 在受感染的主機上。

但如果說我們從之前有關 Linux 惡意軟件操作的報告中學到了什麼的話，那就是 黑客經常依靠同樣的舊技術在 Linux 系統上站穩腳跟：

嘗試猜測 SSH 密碼的暴力或字典攻擊。 使用強密碼或唯一密碼或 IP 過濾系統進行 SSH 登錄應該可以防止此類攻擊。

利用 Linux 服務器上運行的應用程序（例如 Web 應用程序、CMS 等）中的漏洞。

如果應用程序/服務的 root 訪問權限配置錯誤，或者攻擊者利用了權限升級缺陷，則過時 WordPress 插件的常見初始故障可以輕鬆升級到底層操作系統。

通過保持所有內容都是最新的，操作系統和在其上運行的應用程序都應該可以防止這些類型的攻擊。

Se 他們準備了反病毒腳本和規則，以及包含每種 SSH 木馬特徵的動態表。

Linux 上受影響的文件

以及在系統上創建的其他文件和通過後門訪問的密碼，以識別已被替換的 OpenSSH 組件。

例如： 在某些情況下，諸如用於記錄截獲密碼的文件：

• “/usr/include/sn.h”，
• “/usr/lib/mozilla/extensions/mozzlia.ini”，
• “/usr/local/share/man/man1/Openssh.1”，
• “/etc/ssh/ssh_known_hosts2”，
• “/usr/share/boot.sync”，
• “/usr/lib/libpanel.so.a.3”，
• “/usr/lib/libcurl.a.2.1”，
• “/var/log/utmp”，
• “/usr/share/man/man5/ttyl.5.gz”，
• “/usr/share/man/man0/.cache”，
• “/var/tmp/.pipe.sock”，
• “/etc/ssh/.sshd_auth”，
• “/usr/include/X11/sessmgr/coredump.in”，
• “/etc/gshadow-”，
• “/etc/X11/.pr”