forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выявлен 21 вид вредоносных программ, подменяющих OpenSSH"
Отправлено opennews, 11-Дек-18 11:16

Компания ESET опубликовала (https://www.welivesecurity.com/2018/12/05/dark-side-of-the-f.../) (PDF (https://www.welivesecurity.com/wp-content/uploads/2018/12/ES...), 53 стр.) итоги анализа троянских пакетов, устанавливаемых злоумышленниками после компрометации Linux-хостов для оставления бэкдора или для перехвата паролей пользователя в момент подключения к другим хостам. Все рассмотренные варианты троянского ПО подменяли компоненты серверного процесса или клиента OpenSSH.

18 выявленных вариантов включало функции перехвата вводимых паролей и ключей шифрования, а 17 предоставляли функции бэкдора, позволяющие злоумышленнику скрыто получить доступ к взломанному хосту, используя предопределённый пароль. Вредоносные компоненты внедрялись после успешной атаки на систему - как правило злоумышленники получали доступ через подбор типовых паролей или эксплуатацию известных уязвимостей в web-приложениях или серверных обработчиках, после чего применяли эксплоиты для повышения своих привилегий на необновлённых системах.

Внимания заслуживает история выявления данных вредоносных программ.  В процессе анализа ботнета Windigo исследователи обратили внимание на код для подмены ssh бэкдором Ebury, который перед своим запуском проверял факт установки других бэкдоров для OpenSSH. Для проверки использовался список из 40 хэшей SHA-1 (https://github.com/eset/malware-ioc/tree/master/sshdoor). Воспользовавшись этими хэшами представители ESET выяснили, что многие хэши не охватывают ранее известные бэкдоры, после чего приступили к поиску недостающих экземпляров, в том числе развернув сеть подставных уязвимых honeypot-серверов. В итоге, был выделен 21 вариант подменяющих SSH троянских пакетов, которые остаются актуальными в последние годы.

Для определения подменённых компонентов OpenSSH подготовлена сводная таблица (https://github.com/eset/malware-ioc/tree/master/sshdoor) с характерными признаками каждого вида SSH-троянов, такими как создаваемые дополнительные файлы в системе и пароли для доступа через бэкдор. Например, в некоторых случаев для ведения лога перехваченных паролей использовались такие файлы, как:

-  "/usr/include/sn.h",
-  "/usr/lib/mozilla/extensions/mozzlia.ini",
-  "/usr/local/share/man/man1/Openssh.1",
-  "/etc/ssh/ssh_known_hosts",
-  "/usr/share/boot.sync",
-  "/usr/lib/libpanel.so.a.3",
-  "/usr/lib/libcurl.a.2.1",
-  "/var/log/utmp",
-  "/usr/share/man/man5/ttyl.5.gz",
-  "/usr/share/man/man0/.cache",
-  "/var/tmp/.pipe.sock",
-  "/etc/ssh/.sshd_auth",
-  "/usr/include/X11/sessmgr/coredump.in",
-  "/etc/gshadow--",
-  "/etc/X11/.pr"

URL: https://www.welivesecurity.com/2018/12/05/dark-side-of-the-f.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=49759

Исходное сообщение
"Выявлен 21 вид вредоносных программ, подменяющих OpenSSH" Отправлено opennews, 11-Дек-18 11:16
Компания ESET опубликовала (https://www.welivesecurity.com/2018/12/05/dark-side-of-the-f.../) (PDF (https://www.welivesecurity.com/wp-content/uploads/2018/12/ES...), 53 стр.) итоги анализа троянских пакетов, устанавливаемых злоумышленниками после компрометации Linux-хостов для оставления бэкдора или для перехвата паролей пользователя в момент подключения к другим хостам. Все рассмотренные варианты троянского ПО подменяли компоненты серверного процесса или клиента OpenSSH. 18 выявленных вариантов включало функции перехвата вводимых паролей и ключей шифрования, а 17 предоставляли функции бэкдора, позволяющие злоумышленнику скрыто получить доступ к взломанному хосту, используя предопределённый пароль. Вредоносные компоненты внедрялись после успешной атаки на систему - как правило злоумышленники получали доступ через подбор типовых паролей или эксплуатацию известных уязвимостей в web-приложениях или серверных обработчиках, после чего применяли эксплоиты для повышения своих привилегий на необновлённых системах. Внимания заслуживает история выявления данных вредоносных программ. В процессе анализа ботнета Windigo исследователи обратили внимание на код для подмены ssh бэкдором Ebury, который перед своим запуском проверял факт установки других бэкдоров для OpenSSH. Для проверки использовался список из 40 хэшей SHA-1 (https://github.com/eset/malware-ioc/tree/master/sshdoor). Воспользовавшись этими хэшами представители ESET выяснили, что многие хэши не охватывают ранее известные бэкдоры, после чего приступили к поиску недостающих экземпляров, в том числе развернув сеть подставных уязвимых honeypot-серверов. В итоге, был выделен 21 вариант подменяющих SSH троянских пакетов, которые остаются актуальными в последние годы. Для определения подменённых компонентов OpenSSH подготовлена сводная таблица (https://github.com/eset/malware-ioc/tree/master/sshdoor) с характерными признаками каждого вида SSH-троянов, такими как создаваемые дополнительные файлы в системе и пароли для доступа через бэкдор. Например, в некоторых случаев для ведения лога перехваченных паролей использовались такие файлы, как: - "/usr/include/sn.h", - "/usr/lib/mozilla/extensions/mozzlia.ini", - "/usr/local/share/man/man1/Openssh.1", - "/etc/ssh/ssh_known_hosts", - "/usr/share/boot.sync", - "/usr/lib/libpanel.so.a.3", - "/usr/lib/libcurl.a.2.1", - "/var/log/utmp", - "/usr/share/man/man5/ttyl.5.gz", - "/usr/share/man/man0/.cache", - "/var/tmp/.pipe.sock", - "/etc/ssh/.sshd_auth", - "/usr/include/X11/sessmgr/coredump.in", - "/etc/gshadow--", - "/etc/X11/.pr" URL: https://www.welivesecurity.com/2018/12/05/dark-side-of-the-f.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=49759

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания ESET опубликовала (https://www.welivesecurity.com/2018/12/05/dark-side-of-the-forsshe/) 
> (PDF (https://www.welivesecurity.com/wp-content/uploads/2018/12/ESET-The_Dark_Side_of_the_ForSSHe.pdf), 
> 53 стр.) итоги анализа троянских пакетов, устанавливаемых злоумышленниками после компрометации 
> Linux-хостов для оставления бэкдора или для перехвата паролей пользователя в момент 
> подключения к другим хостам. Все рассмотренные варианты троянского ПО подменяли компоненты 
> серверного процесса или клиента OpenSSH.

>  18 выявленных вариантов включало функции перехвата вводимых паролей и ключей шифрования, 
> а 17 предоставляли функции бэкдора, позволяющие злоумышленнику скрыто получить доступ 
> к взломанному хосту, используя предопределённый пароль. Вредоносные компоненты внедрялись 
> после успешной атаки на систему - как правило злоумышленники получали доступ 
> через подбор типовых паролей или эксплуатацию известных уязвимостей в web-приложениях 
> или серверных обработчиках, после чего применяли эксплоиты для повышения своих привилегий 
> на необновлённых системах.

> Внимания заслуживает история выявления данных вредоносных программ.  В процессе анализа 
> ботнета Windigo исследователи обратили внимание на код для подмены ssh бэкдором 
> Ebury, который перед своим запуском проверял факт установки других бэкдоров для 
> OpenSSH. Для проверки использовался список из 40 хэшей SHA-1 (https://github.com/eset/malware-ioc/tree/master/sshdoor). 
> Воспользовавшись этими хэшами представители ESET выяснили, что многие хэши не охватывают 
> ранее известные бэкдоры, после чего приступили к поиску недостающих экземпляров, в 
> том числе развернув сеть подставных уязвимых honeypot-серверов. В итоге, был выделен 
> 21 вариант подменяющих SSH троянских пакетов, которые остаются актуальными в последние 
> годы.

> Для определения подменённых компонентов OpenSSH подготовлена сводная таблица (https://github.com/eset/malware-ioc/tree/master/sshdoor) 
> с характерными признаками каждого вида SSH-троянов, такими как создаваемые дополнительные 
> файлы в системе и пароли для доступа через бэкдор. Например, в 
> некоторых случаев для ведения лога перехваченных паролей использовались такие файлы, как:

> -  "/usr/include/sn.h", 
> -  "/usr/lib/mozilla/extensions/mozzlia.ini", 
> -  "/usr/local/share/man/man1/Openssh.1", 
> -  "/etc/ssh/ssh_known_hosts", 
> -  "/usr/share/boot.sync", 
> -  "/usr/lib/libpanel.so.a.3", 
> -  "/usr/lib/libcurl.a.2.1", 
> -  "/var/log/utmp", 
> -  "/usr/share/man/man5/ttyl.5.gz", 
> -  "/usr/share/man/man0/.cache", 
> -  "/var/tmp/.pipe.sock", 
> -  "/etc/ssh/.sshd_auth", 
> -  "/usr/include/X11/sessmgr/coredump.in", 
> -  "/etc/gshadow--", 
> -  "/etc/X11/.pr"

> URL: https://www.welivesecurity.com/2018/12/05/dark-side-of-the-forsshe/ 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=49759

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру