Выявлен 21 вид вредоносных программ, подменяющих OpenSSH

Компания ESET опубликовала (PDF, 53 стр.) итоги анализа троянских пакетов, устанавливаемых злоумышленниками после компрометации Linux-хостов для оставления бэкдора или для перехвата паролей пользователя в момент подключения к другим хостам. Все рассмотренные варианты троянского ПО подменяли компоненты серверного процесса или клиента OpenSSH.

18 выявленных вариантов включало функции перехвата вводимых паролей и ключей шифрования, а 17 предоставляли функции бэкдора, позволяющие злоумышленнику скрыто получить доступ к взломанному хосту, используя предопределённый пароль. Вредоносные компоненты внедрялись после успешной атаки на систему — как правило, злоумышленники получали доступ через подбор типовых паролей или через эксплуатацию неисправленных уязвимостей в web-приложениях или серверных обработчиках, после чего на не обновлённых системах применяли эксплоиты для повышения своих привилегий.

Внимания заслуживает история выявления данных вредоносных программ. В процессе анализа ботнета Windigo исследователи обратили внимание на код для подмены ssh бэкдором Ebury, который перед своим запуском проверял факт установки других бэкдоров для OpenSSH. Для определения конкурирующих троянов использовался список из 40 проверочных признаков. Воспользовавшись этими признаками представители ESET выяснили, что многие из них не охватывают ранее известные бэкдоры, после чего приступили к поиску недостающих экземпляров, в том числе развернув сеть подставных уязвимых honeypot-серверов. В итоге, был выделен 21 вариант подменяющих SSH троянских пакетов, которые остаются актуальными в последние годы.

Для определения подменённых компонентов OpenSSH подготовлен скрипт, YARA-правила для антивирусов и сводная таблица с характерными признаками каждого вида SSH-троянов, такими как создаваемые дополнительные файлы в системе и пароли для доступа через бэкдор. Например, в некоторых случаях для ведения лога перехваченных паролей использовались такие файлы, как:

  • «/usr/include/sn.h»,
  • «/usr/lib/mozilla/extensions/mozzlia.ini»,
  • «/usr/local/share/man/man1/Openssh.1»,
  • «/etc/ssh/ssh_known_hosts»,
  • «/usr/share/boot.sync»,
  • «/usr/lib/libpanel.so.a.3»,
  • «/usr/lib/libcurl.a.2.1»,
  • «/var/log/utmp»,
  • «/usr/share/man/man5/ttyl.5.gz»,
  • «/usr/share/man/man0/.cache»,
  • «/var/tmp/.pipe.sock»,
  • «/etc/ssh/.sshd_auth»,
  • «/usr/include/X11/sessmgr/coredump.in»,
  • «/etc/gshadow—«,
  • «/etc/X11/.pr»

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.