The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

11.12.2018 11:05  Выявлен 21 вид вредоносных программ, подменяющих OpenSSH

Компания ESET опубликовала (PDF, 53 стр.) итоги анализа троянских пакетов, устанавливаемых злоумышленниками после компрометации Linux-хостов для оставления бэкдора или для перехвата паролей пользователя в момент подключения к другим хостам. Все рассмотренные варианты троянского ПО подменяли компоненты серверного процесса или клиента OpenSSH.

18 выявленных вариантов включало функции перехвата вводимых паролей и ключей шифрования, а 17 предоставляли функции бэкдора, позволяющие злоумышленнику скрыто получить доступ к взломанному хосту, используя предопределённый пароль. Вредоносные компоненты внедрялись после успешной атаки на систему - как правило, злоумышленники получали доступ через подбор типовых паролей или через эксплуатацию неисправленных уязвимостей в web-приложениях или серверных обработчиках, после чего на не обновлённых системах применяли эксплоиты для повышения своих привилегий.

Внимания заслуживает история выявления данных вредоносных программ. В процессе анализа ботнета Windigo исследователи обратили внимание на код для подмены ssh бэкдором Ebury, который перед своим запуском проверял факт установки других бэкдоров для OpenSSH. Для определения конкурирующих троянов использовался список из 40 проверочных признаков. Воспользовавшись этими признаками представители ESET выяснили, что многие из них не охватывают ранее известные бэкдоры, после чего приступили к поиску недостающих экземпляров, в том числе развернув сеть подставных уязвимых honeypot-серверов. В итоге, был выделен 21 вариант подменяющих SSH троянских пакетов, которые остаются актуальными в последние годы.

Для определения подменённых компонентов OpenSSH подготовлен скрипт, YARA-правила для антивирусов и сводная таблица с характерными признаками каждого вида SSH-троянов, такими как создаваемые дополнительные файлы в системе и пароли для доступа через бэкдор. Например, в некоторых случаях для ведения лога перехваченных паролей использовались такие файлы, как:

  • "/usr/include/sn.h",
  • "/usr/lib/mozilla/extensions/mozzlia.ini",
  • "/usr/local/share/man/man1/Openssh.1",
  • "/etc/ssh/ssh_known_hosts2",
  • "/usr/share/boot.sync",
  • "/usr/lib/libpanel.so.a.3",
  • "/usr/lib/libcurl.a.2.1",
  • "/var/log/utmp",
  • "/usr/share/man/man5/ttyl.5.gz",
  • "/usr/share/man/man0/.cache",
  • "/var/tmp/.pipe.sock",
  • "/etc/ssh/.sshd_auth",
  • "/usr/include/X11/sessmgr/coredump.in",
  • "/etc/gshadow--",
  • "/etc/X11/.pr"


  1. Главная ссылка к новости (https://www.welivesecurity.com...)
  2. OpenNews: Зафиксирована массовая атака на сайты с необновлённым движком WordPress
  3. OpenNews: В популярный NPM-модуль внедрено вредоносное ПО, копирующее параметры аутентификации
  4. OpenNews: Результаты исследования методов захвата учётных записей
  5. OpenNews: В распространяемых через сторонние источники исполняемых файлах для Linux выявлен троян
  6. OpenNews: Выявлен новый rootkit для Linux, подменяющий функции libc
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ssh, backdoor, trojan
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 11:16, 11/12/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +3 +/
    /etc/gshadow-- ваще палево.
     
     
  • 2.27, Аноним (27), 20:33, 11/12/2018 [^] [ответить]    [к модератору]
  • +/
    Косит под бэкап файла. Если админ лох и файло не чекает, название его не смутит.
     
  • 1.2, Ключевский (?), 11:29, 11/12/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –6 +/
    Что за бред?
    /etc/ssh/ssh_known_hosts — валидный файл, почитайте доки на OpenSSH, что ли.
     
     
  • 2.3, анан (?), 11:33, 11/12/2018 [^] [ответить]    [к модератору]
  • +/
    это имя приложения
     
     
  • 3.11, Аноним (11), 13:08, 11/12/2018 [^] [ответить]    [к модератору]
  • +/
    > Что за бред?
    > /etc/ssh/ssh_known_hosts — валидный файл, почитайте доки на OpenSSH, что ли.
    > это имя приложения

    Один бред круче другого. Новость не читай — сразу комментируй!

     
  • 2.6, Аноним (6), 12:23, 11/12/2018 [^] [ответить]     [к модератору]  
  • +/
    В etc ssh он разве что теоретически может быть обычно в ssh , этим и пользу... весь текст скрыт [показать]
     
     
  • 3.10, Ключевский (?), 12:54, 11/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    В ssh пользовательский, а в etc ssh системный, он там не теоретически, а впо... весь текст скрыт [показать]
     
     
  • 4.20, Аноним (6), 14:25, 11/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Теоретические предположения обычно расходится с практикой Глобальный ssh_known_... весь текст скрыт [показать]
     
     
  • 5.38, pavlinux (ok), 16:40, 12/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Анон, ты - дурень?
     
  • 4.31, konst555 (?), 05:28, 12/12/2018 [^] [ответить]    [к модератору]  
  • +/
    /etc/ssh/ssh_known_hosts2
    /etc/ssh/ssh_known_hosts
     
  • 2.15, Аноним84701 (ok), 13:50, 11/12/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Как это должно помешать записывать туда всем желающим перехваченные пароли ... весь текст скрыт [показать]
     
  • 2.17, 1 (??), 14:20, 11/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну так формат позволяет писать туда свои данные (например, под видом комментариев).
     
  • 1.4, ddd788 (?), 11:54, 11/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +8 +/
    поостерегусь запускать перловый скрипт непонято от кого.
    стремные регэкспы, странные строковые константы, подозрительные названия функций
    небось еще и рута просит
     
     
  • 2.5, none_first (ok), 12:05, 11/12/2018 [^] [ответить]     [к модератору]  
  • +/
    This script is a modified and tidied version of the signatures used by the W... весь текст скрыт [показать]
     
  • 2.13, user (??), 13:36, 11/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    curl | bash - это модно и молодёжно!
     
     
  • 3.16, user (??), 14:01, 11/12/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    В Go сделали автоскачивание всего, чтобы облегчить внутригугловую разработку Хи... весь текст скрыт [показать]
     
     
  • 4.24, Аноним (24), 17:38, 11/12/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    А хипстеры не понимают, как это "работать в оффлайне" (откуда же код еопипастить тогда?)
     
  • 2.26, Урри (?), 18:46, 11/12/2018 [^] [ответить]    [к модератору]  
  • +/
    заведи юзера, запусти, удали юзера.
    в чем проблема то?
     
  • 1.7, osadmin (?), 12:24, 11/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Что-то он даже не запускается (

    11.12.2018 11:23:25 root@host:~$./windigo_signatures.pl
    ./windigo_signatures.pl: line 8: syntax error near unexpected token '('
    ./windigo_signatures.pl: line 8: 'my %pw = ('

    11.12.2018 11:23:28 root@host:~$perl ./windigo_signatures.pl
    Can't call method "f" on an undefined value at ./windigo_signatures.pl line 224.

     
     
  • 2.18, none_first (ok), 14:21, 11/12/2018 [^] [ответить]     [к модератору]  
  • +/
    читать хотя бы комментарии к коду не принято ... весь текст скрыт [показать]
     
  • 1.8, Аноним (8), 12:41, 11/12/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    Используйте YARA правила для описания зловредов Использование YARA очень удобно... весь текст скрыт [показать]
     
     
  • 2.9, Аноним (8), 12:43, 11/12/2018 [^] [ответить]    [к модератору]  
  • +/
    YARA - рулит!!!

    Костыли на перле и сводная таблица - отстой.

     
  • 2.34, Аноним (34), 10:38, 12/12/2018 [^] [ответить]    [к модератору]  
  • +/
    https://github.com/eset/malware-ioc/blob/master/sshdoor/sshdoor.yar

    Кто знает ссылки на другие YARA правила с описанием вирей пишите в этой ветке. Я их колекционирую и буду очень благодарен.

     
  • 1.14, Аноним (14), 13:49, 11/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Дешёвый пиар от подобия на антивирусное ПО. Так желтит, что аж коричнево
     
     
  • 2.19, Аноним (19), 14:25, 11/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    После того, как M$ опрокинула рынок "типа антивирусного" ПО, надо же куда-то силы прикладывать ...
     
     
  • 3.29, Q2W (?), 00:28, 12/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Где про это почитать?
     
  • 1.22, Padil (?), 16:03, 11/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    I read only "Компания ESET", and that was enough for me.
     
  • 1.23, Харитон (?), 17:20, 11/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я так понимаю, что для внедрения трояна надо дать права root?
    Типичный вирус...)))

    Скорее всего "скомпромметированные" - это d-link, tp-link и пр. microtik где был бекдор, а его пароль стал общеизвестным...

     
     
  • 2.25, Нанобот (ok), 17:45, 11/12/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    >Я так понимаю, что для внедрения трояна надо дать права root?

    надо, но, из-за повальной уязвимости операционных систем на базе linux, это не является сколько-нибудь значимой преградой

     
     
  • 3.28, Ключевский (?), 21:46, 11/12/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Давай я тебе дам IPшник сервера с ОС на базе ядра Linux, а ты докажешь на его пр... весь текст скрыт [показать]
     
     
  • 4.30, Анонымоуз (?), 00:36, 12/12/2018 [^] [ответить]    [к модератору]  
  • +/
    чувак, за сутки - не. за месяц - реально. только чур не обновляться :))
     
  • 4.32, Адекват (ok), 10:09, 12/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Давай, смелый ты наш, но только не за бабки, а за спортивный интерес, в случае успеха - анонимность уязвимости гарантирую (гарантируем).
     
     
  • 5.35, Ключевский (?), 12:32, 12/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > Давай, смелый ты наш, но только не за бабки, а за спортивный
    > интерес, в случае успеха - анонимность уязвимости гарантирую (гарантируем).

    То есть за деньги ты боишься, потому что ты точно знаешь, что обгадишься. Без денег мне не интересно.

     
  • 4.37, iPony (?), 16:31, 12/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > Давай я тебе дам IPшник сервера с ОС на базе ядра Linux

    Ну ты молодец, отличник, медалист 🏅, трудяга и всё такое — спору нет.
    А больше половины линуксовых устройств в сети 🕸 не имеют заплаток на дыры, многие небезопасно сконфигурированы и так далее.
    Можно хоть обхохочтаться, но это реальность.

     
  • 4.41, pavlinux (ok), 16:48, 12/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    >  10000 долларов США

    О, давай. Только договор через юриста, чтоб не соскочил.

    Если найду файлы обновленные позже даты новости минус 24 часа, а именно 11(10)-Дек-18, 11:16 и такой же аптайм,
    то автоматом выплачиваете 10000$, за попытку и/или модификации ctime/mtime - штраф 5000$
    За очистку логов, history ещё штраф 5000$

     
     
  • 5.46, Ключевский (?), 14:07, 13/12/2018 [^] [ответить]    [к модератору]  
  • +/
    >>  10000 долларов США
    > О, давай. Только договор через юриста, чтоб не соскочил.
    > Если найду файлы обновленные позже даты новости минус 24 часа, а именно
    > 11(10)-Дек-18, 11:16 и такой же аптайм,
    > то автоматом выплачиваете 10000$, за попытку и/или модификации ctime/mtime - штраф 5000$
    > За очистку логов, history ещё штраф 5000$

    Павлин, я-то согласен и через юриста, что бы ты не соскочил. Не «не позже даты новости», а запрет на любые ручные обновления с момента, как начинается отсчет суток тебе на взлом. Вот как он настроен, так ты и пытаешься ломать. Сервер при этом реальный и боевой, работает как работает, специально ничего не настраиваю. 10 тысяч с тебя если проиграешь, еще 10 тысяч штрафа за использование уркаганской лексики, типа «соскочил»

     
     
  • 6.49, pavlinux (ok), 17:28, 13/12/2018 [^] [ответить]    [к модератору]  
  • +/
    >[оверквотинг удален]
    > 10 тысяч с тебя если проиграешь,

    Пиши dixlor@gmail.com

    > еще 10 тысяч штрафа за использование уркаганской лексики, типа «соскочил»

    Нежный, ты не соскакивай с темы, очканул так и пиши. А то  детские отмазки, скучно...
    Хотя у тебя есть шанс избежать позора "последнего лоха" - сменить аккаунт :)

     
  • 6.50, pavlinux (ok), 16:03, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > типа «соскочил»

    Где же ты, диванный воин, рыцарь локахоста?


     
  • 1.33, Адекват (ok), 10:13, 12/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я так понимаю, что сервера на базе линукса были взломаны, там чужие дяди и тети хозяйничали, а хозяева сервера ни сном ни духом.
    Ну это те админы, что с ухмылочкой говорят "этож линукс, по него полтора вируса и те устанавливать нужно".
    Нда, антивирусы под линукс не нужны, ага, как и системы обнаружения вторжений.
    Типа залогинился кто-то, а тебе на сотовый смс приходит и/или на почту, в мессенджер и так далее.
    И идея запретить по ssh логиниться руту - уже не кажется бредовой.
     
     
  • 2.36, Ключевский (?), 12:39, 12/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > Типа залогинился кто-то, а тебе на сотовый смс приходит и/или на почту,
    > в мессенджер и так далее.

    Это делается штатным образом через /etc/ssh/sshrc. Ну или через скрипт в /etc/profile.d/.

    > И идея запретить по ssh логиниться руту - уже не кажется бредовой.

    Какая разница какой пользователь логинится по ssh с использованием ключа?

     
     
  • 3.40, pavlinux (ok), 16:46, 12/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > Это делается штатным образом через /etc/ssh/sshrc. Ну или через скрипт в /etc/profile.d/.

    ...
    > Какая разница какой пользователь логинится по ssh с использованием ключа?

    Ты же только что сделал уведомления по СМС?
    Сидишь в бане с телочками, тебе смска, а ключик-то дома... опа... додрачивать будешь в маршрутке.

     
  • 2.42, пох (?), 19:50, 12/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > И идея запретить по ssh логиниться руту - уже не кажется бредовой.

    современные девляпсы тебя не поймут.
    А чуть менее современные заводят юзера vasya (так звали поза-поза-поза-позапрошлого админа) с паролем 123qwe321 , дают ему sudo без ограничений, а логин рутом да, запрещают-запрещают, отлично спрятались, можно годами сервер не проверять, вирусов же не бывает.

    осталось догадаться, кто это такие трахают мне 22й порт с интенсивностью полсотни коннектов в минуту (а если б там не было фильтра - то бы и пароли подбирали с той же увлеченностью. Оно, кстати, умудряется подбирать довольно непростые.)
    windows, наверное.

    и спам с опенрелеев на базе швятого неуязвимого поцфикса тоже видимо винда проклятая шлет.

     
  • 1.39, pavlinux (ok), 16:43, 12/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > сводная таблица с характерными признаками каждого вида SSH-троянов,

    Спасибо, что предупредили, будем придумывать новые :)

     
     
  • 2.45, Аноним (45), 12:05, 13/12/2018 [^] [ответить]    [к модератору]  
  • +/
    какой позор! еще и гентушник... как не стыдно! где совесть?
     
  • 1.43, Аноним (43), 08:42, 13/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    скажите пажста а кто эти люди которые беспредельничают вирусами ...
     
  • 1.44, Аноним (45), 12:03, 13/12/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Свой велик с нуля писать конечно нестоит А вот обвязки разные вокруг ClamAV и п... весь текст скрыт [показать]
     
  • 1.51, Аноним (51), 08:37, 17/12/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Воспользовавшись этими признаками представители ESET выяснили, что многие из ни... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor