The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выявлен 21 вид вредоносных программ, подменяющих OpenSSH

11.12.2018 11:05

Компания ESET опубликовала (PDF, 53 стр.) итоги анализа троянских пакетов, устанавливаемых злоумышленниками после компрометации Linux-хостов для оставления бэкдора или для перехвата паролей пользователя в момент подключения к другим хостам. Все рассмотренные варианты троянского ПО подменяли компоненты серверного процесса или клиента OpenSSH.

18 выявленных вариантов включало функции перехвата вводимых паролей и ключей шифрования, а 17 предоставляли функции бэкдора, позволяющие злоумышленнику скрыто получить доступ к взломанному хосту, используя предопределённый пароль. Вредоносные компоненты внедрялись после успешной атаки на систему - как правило, злоумышленники получали доступ через подбор типовых паролей или через эксплуатацию неисправленных уязвимостей в web-приложениях или серверных обработчиках, после чего на не обновлённых системах применяли эксплоиты для повышения своих привилегий.

Внимания заслуживает история выявления данных вредоносных программ. В процессе анализа ботнета Windigo исследователи обратили внимание на код для подмены ssh бэкдором Ebury, который перед своим запуском проверял факт установки других бэкдоров для OpenSSH. Для определения конкурирующих троянов использовался список из 40 проверочных признаков. Воспользовавшись этими признаками представители ESET выяснили, что многие из них не охватывают ранее известные бэкдоры, после чего приступили к поиску недостающих экземпляров, в том числе развернув сеть подставных уязвимых honeypot-серверов. В итоге, был выделен 21 вариант подменяющих SSH троянских пакетов, которые остаются актуальными в последние годы.

Для определения подменённых компонентов OpenSSH подготовлен скрипт, YARA-правила для антивирусов и сводная таблица с характерными признаками каждого вида SSH-троянов, такими как создаваемые дополнительные файлы в системе и пароли для доступа через бэкдор. Например, в некоторых случаях для ведения лога перехваченных паролей использовались такие файлы, как:

  • "/usr/include/sn.h",
  • "/usr/lib/mozilla/extensions/mozzlia.ini",
  • "/usr/local/share/man/man1/Openssh.1",
  • "/etc/ssh/ssh_known_hosts2",
  • "/usr/share/boot.sync",
  • "/usr/lib/libpanel.so.a.3",
  • "/usr/lib/libcurl.a.2.1",
  • "/var/log/utmp",
  • "/usr/share/man/man5/ttyl.5.gz",
  • "/usr/share/man/man0/.cache",
  • "/var/tmp/.pipe.sock",
  • "/etc/ssh/.sshd_auth",
  • "/usr/include/X11/sessmgr/coredump.in",
  • "/etc/gshadow--",
  • "/etc/X11/.pr"


  1. Главная ссылка к новости (https://www.welivesecurity.com...)
  2. OpenNews: Зафиксирована массовая атака на сайты с необновлённым движком WordPress
  3. OpenNews: В популярный NPM-модуль внедрено вредоносное ПО, копирующее параметры аутентификации
  4. OpenNews: Результаты исследования методов захвата учётных записей
  5. OpenNews: В распространяемых через сторонние источники исполняемых файлах для Linux выявлен троян
  6. OpenNews: Выявлен новый rootkit для Linux, подменяющий функции libc
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49759-ssh
Ключевые слова: ssh, backdoor, trojan
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:16, 11/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    /etc/gshadow-- ваще палево.
     
     
  • 2.27, Аноним (27), 20:33, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Косит под бэкап файла. Если админ лох и файло не чекает, название его не смутит.
     

  • 1.2, Ключевский (?), 11:29, 11/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Что за бред?
    /etc/ssh/ssh_known_hosts — валидный файл, почитайте доки на OpenSSH, что ли.
     
     
  • 2.3, анан (?), 11:33, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    это имя приложения
     
     
  • 3.11, Аноним (11), 13:08, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Что за бред?
    > /etc/ssh/ssh_known_hosts — валидный файл, почитайте доки на OpenSSH, что ли.
    > это имя приложения

    Один бред круче другого. Новость не читай — сразу комментируй!

     
  • 2.6, Аноним (6), 12:23, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Что за бред?
    > /etc/ssh/ssh_known_hosts — валидный файл, почитайте доки на OpenSSH, что ли.

    В /etc/ssh он разве что теоретически может быть (обычно в ~/.ssh), этим и пользуются вредоносы.

     
     
  • 3.10, Ключевский (?), 12:54, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В /etc/ssh он разве что теоретически может быть (обычно в ~/.ssh), этим
    > и пользуются вредоносы.

    В ~/.ssh пользовательский, а в /etc/ssh системный, он там не теоретически, а вполне себе бывает на серьезных системах, ты хоть man открой

     
     
  • 4.20, Аноним (6), 14:25, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Теоретические предположения обычно расходится с практикой. Глобальный ssh_known_hosts - это очень и очень узкоспециализированные решения для каких нибудь кластеров и типовых ферм, в обычной жизни, на серверах, которые можно взломать подбором пароля или хакнув пять лет не обновлявшийся WordPress, встречаются крайней редко.
     
     
  • 5.38, pavlinux (ok), 16:40, 12/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Анон, ты - дурень?
     
  • 4.31, konst555 (?), 05:28, 12/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    /etc/ssh/ssh_known_hosts2
    /etc/ssh/ssh_known_hosts
     
  • 2.15, Аноним84701 (ok), 13:50, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Например, в некоторых случаев для ведения лога перехваченных паролей использовались такие файлы, как:
    >> /etc/ssh/ssh_known_hosts
    > Что за бред?
    > /etc/ssh/ssh_known_hosts — валидный файл, почитайте доки на OpenSSH, что ли.

    Как это должно помешать записывать туда "всем желающим" перехваченные пароли?

     
  • 2.17, 1 (??), 14:20, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так формат позволяет писать туда свои данные (например, под видом комментариев).
     

  • 1.4, ddd788 (?), 11:54, 11/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    поостерегусь запускать перловый скрипт непонято от кого.
    стремные регэкспы, странные строковые константы, подозрительные названия функций
    небось еще и рута просит
     
     
  • 2.5, none_first (ok), 12:05, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > поостерегусь запускать перловый скрипт непонято от кого.
    > стремные регэкспы, странные строковые константы, подозрительные названия функций
    > небось еще и рута просит

    # This script is a modified and tidied version of the signatures used by the
    # Windigo operators to detect OpenSSH backdoors. It has been stripped to keep
    # only the relevent parts.
    #
    # It is not guaranteed to run correctly. It is only to exhibit the full set of
    # signatures.
    какбэ намекают что пострипали то, что посчитали нужным из малвари, но корректный запуск не гарантируют

     
  • 2.13, user (??), 13:36, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    curl | bash - это модно и молодёжно!
     
     
  • 3.16, user (??), 14:01, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В Go сделали автоскачивание всего, чтобы облегчить внутригугловую разработку. Хипстеры за пределами гугла это не поняли и сделали себе дыру в безопасности, не говоря уже про усложнение работы в оффлайне.
     
     
  • 4.24, Аноним (24), 17:38, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А хипстеры не понимают, как это "работать в оффлайне" (откуда же код еопипастить тогда?)
     
  • 2.26, Урри (?), 18:46, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    заведи юзера, запусти, удали юзера.
    в чем проблема то?
     

  • 1.7, osadmin (?), 12:24, 11/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то он даже не запускается (

    11.12.2018 11:23:25 root@host:~$./windigo_signatures.pl
    ./windigo_signatures.pl: line 8: syntax error near unexpected token '('
    ./windigo_signatures.pl: line 8: 'my %pw = ('

    11.12.2018 11:23:28 root@host:~$perl ./windigo_signatures.pl
    Can't call method "f" on an undefined value at ./windigo_signatures.pl line 224.

     
     
  • 2.18, none_first (ok), 14:21, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Что-то он даже не запускается (
    > 11.12.2018 11:23:25 root@host:~$./windigo_signatures.pl
    > ./windigo_signatures.pl: line 8: syntax error near unexpected token '('
    > ./windigo_signatures.pl: line 8: 'my %pw = ('
    > 11.12.2018 11:23:28 root@host:~$perl ./windigo_signatures.pl
    > Can't call method "f" on an undefined value at ./windigo_signatures.pl line 224.

    читать хотя бы комментарии к коду не принято? ;)

     

  • 1.8, Аноним (8), 12:41, 11/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Используйте YARA правила для описания зловредов!

    Использование YARA очень удобно, понятно, наглядно.

    И самое главное что написанные вами YARA правила для зловредов срезу станут доступны для использования во многих антивирусах, включая ClamAV.

     
     
  • 2.9, Аноним (8), 12:43, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    YARA - рулит!!!

    Костыли на перле и сводная таблица - отстой.

     
  • 2.34, Аноним (34), 10:38, 12/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/eset/malware-ioc/blob/master/sshdoor/sshdoor.yar

    Кто знает ссылки на другие YARA правила с описанием вирей пишите в этой ветке. Я их колекционирую и буду очень благодарен.

     

  • 1.14, Аноним (14), 13:49, 11/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дешёвый пиар от подобия на антивирусное ПО. Так желтит, что аж коричнево
     
     
  • 2.19, Аноним (19), 14:25, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    После того, как M$ опрокинула рынок "типа антивирусного" ПО, надо же куда-то силы прикладывать ...
     
     
  • 3.29, Q2W (?), 00:28, 12/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Где про это почитать?
     

  • 1.22, Padil (?), 16:03, 11/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    I read only "Компания ESET", and that was enough for me.
     
  • 1.23, Харитон (?), 17:20, 11/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я так понимаю, что для внедрения трояна надо дать права root?
    Типичный вирус...)))

    Скорее всего "скомпромметированные" - это d-link, tp-link и пр. microtik где был бекдор, а его пароль стал общеизвестным...

     
     
  • 2.25, Нанобот (ok), 17:45, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >Я так понимаю, что для внедрения трояна надо дать права root?

    надо, но, из-за повальной уязвимости операционных систем на базе linux, это не является сколько-нибудь значимой преградой

     
     
  • 3.28, Ключевский (?), 21:46, 11/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Давай я тебе дам IPшник сервера с ОС на базе ядра Linux, а ты докажешь на его примере повальные уязвимости, положишь мне в /srv/web файл содержимое которого будет заранее известно всему OpenNET. Если ты не сможешь это сделать за 24 часа, то ты выплачиваешь мне 10000 долларов США, если сможешь, то я выплачиваю эту сумму тебе.
    А то визжать про уязвимости каждый может, а как спросишь у такого как ты «Ну и где же уязвимость?», так сразу вы в кусты сматываетесь
     
     
  • 4.30, Анонымоуз (?), 00:36, 12/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    чувак, за сутки - не. за месяц - реально. только чур не обновляться :))
     
  • 4.32, Адекват (ok), 10:09, 12/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Давай, смелый ты наш, но только не за бабки, а за спортивный интерес, в случае успеха - анонимность уязвимости гарантирую (гарантируем).
     
     
  • 5.35, Ключевский (?), 12:32, 12/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Давай, смелый ты наш, но только не за бабки, а за спортивный
    > интерес, в случае успеха - анонимность уязвимости гарантирую (гарантируем).

    То есть за деньги ты боишься, потому что ты точно знаешь, что обгадишься. Без денег мне не интересно.

     
  • 4.37, iPony (?), 16:31, 12/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Давай я тебе дам IPшник сервера с ОС на базе ядра Linux

    Ну ты молодец, отличник, медалист 🏅, трудяга и всё такое — спору нет.
    А больше половины линуксовых устройств в сети 🕸 не имеют заплаток на дыры, многие небезопасно сконфигурированы и так далее.
    Можно хоть обхохочтаться, но это реальность.

     
  • 4.41, pavlinux (ok), 16:48, 12/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  10000 долларов США

    О, давай. Только договор через юриста, чтоб не соскочил.

    Если найду файлы обновленные позже даты новости минус 24 часа, а именно 11(10)-Дек-18, 11:16 и такой же аптайм,
    то автоматом выплачиваете 10000$, за попытку и/или модификации ctime/mtime - штраф 5000$
    За очистку логов, history ещё штраф 5000$

     
     
  • 5.46, Ключевский (?), 14:07, 13/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>  10000 долларов США
    > О, давай. Только договор через юриста, чтоб не соскочил.
    > Если найду файлы обновленные позже даты новости минус 24 часа, а именно
    > 11(10)-Дек-18, 11:16 и такой же аптайм,
    > то автоматом выплачиваете 10000$, за попытку и/или модификации ctime/mtime - штраф 5000$
    > За очистку логов, history ещё штраф 5000$

    Павлин, я-то согласен и через юриста, что бы ты не соскочил. Не «не позже даты новости», а запрет на любые ручные обновления с момента, как начинается отсчет суток тебе на взлом. Вот как он настроен, так ты и пытаешься ломать. Сервер при этом реальный и боевой, работает как работает, специально ничего не настраиваю. 10 тысяч с тебя если проиграешь, еще 10 тысяч штрафа за использование уркаганской лексики, типа «соскочил»

     
     
  • 6.49, pavlinux (ok), 17:28, 13/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > 10 тысяч с тебя если проиграешь,

    Пиши dixlor@gmail.com

    > еще 10 тысяч штрафа за использование уркаганской лексики, типа «соскочил»

    Нежный, ты не соскакивай с темы, очканул так и пиши. А то  детские отмазки, скучно...
    Хотя у тебя есть шанс избежать позора "последнего лоха" - сменить аккаунт :)

     
  • 6.50, pavlinux (ok), 16:03, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > типа «соскочил»

    Где же ты, диванный воин, рыцарь локахоста?


     

  • 1.33, Адекват (ok), 10:13, 12/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я так понимаю, что сервера на базе линукса были взломаны, там чужие дяди и тети хозяйничали, а хозяева сервера ни сном ни духом.
    Ну это те админы, что с ухмылочкой говорят "этож линукс, по него полтора вируса и те устанавливать нужно".
    Нда, антивирусы под линукс не нужны, ага, как и системы обнаружения вторжений.
    Типа залогинился кто-то, а тебе на сотовый смс приходит и/или на почту, в мессенджер и так далее.
    И идея запретить по ssh логиниться руту - уже не кажется бредовой.
     
     
  • 2.36, Ключевский (?), 12:39, 12/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Типа залогинился кто-то, а тебе на сотовый смс приходит и/или на почту,
    > в мессенджер и так далее.

    Это делается штатным образом через /etc/ssh/sshrc. Ну или через скрипт в /etc/profile.d/.

    > И идея запретить по ssh логиниться руту - уже не кажется бредовой.

    Какая разница какой пользователь логинится по ssh с использованием ключа?

     
     
  • 3.40, pavlinux (ok), 16:46, 12/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Это делается штатным образом через /etc/ssh/sshrc. Ну или через скрипт в /etc/profile.d/.

    ...
    > Какая разница какой пользователь логинится по ssh с использованием ключа?

    Ты же только что сделал уведомления по СМС?
    Сидишь в бане с телочками, тебе смска, а ключик-то дома... опа... додрачивать будешь в маршрутке.

     
  • 2.42, пох (?), 19:50, 12/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > И идея запретить по ssh логиниться руту - уже не кажется бредовой.

    современные девляпсы тебя не поймут.
    А чуть менее современные заводят юзера vasya (так звали поза-поза-поза-позапрошлого админа) с паролем 123qwe321 , дают ему sudo без ограничений, а логин рутом да, запрещают-запрещают, отлично спрятались, можно годами сервер не проверять, вирусов же не бывает.

    осталось догадаться, кто это такие трахают мне 22й порт с интенсивностью полсотни коннектов в минуту (а если б там не было фильтра - то бы и пароли подбирали с той же увлеченностью. Оно, кстати, умудряется подбирать довольно непростые.)
    windows, наверное.

    и спам с опенрелеев на базе швятого неуязвимого поцфикса тоже видимо винда проклятая шлет.

     

  • 1.39, pavlinux (ok), 16:43, 12/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > сводная таблица с характерными признаками каждого вида SSH-троянов,

    Спасибо, что предупредили, будем придумывать новые :)

     
     
  • 2.45, Аноним (45), 12:05, 13/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    какой позор! еще и гентушник... как не стыдно! где совесть?
     

  • 1.43, Аноним (43), 08:42, 13/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    скажите пажста а кто эти люди которые беспредельничают вирусами ...
     
  • 1.44, Аноним (45), 12:03, 13/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Свой велик с нуля писать конечно нестоит. А вот обвязки разные вокруг ClamAV и прочие полезные вещи, для удобства настроек, развёртывания, интеграции с другими системами поиска вирей и уязвимостей в ГНУ/Линуксе желательны.

    Каждый админ городит свои костыли, а сообща можно будет сделать хорошую антивирусную систему для Линукс интегрирующую множество разных аспектов.

    Можно завести в форуме OpenNETа тему и начать обсуждать идеи. Своими костылями покруче упоминаемого здесь перлового скрипта готов поделится.

     
  • 1.51, Аноним (51), 08:37, 17/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Воспользовавшись этими признаками представители ESET выяснили, что многие из них не охватывают ранее известные бэкдоры,"

    Это должно звучать так

    "Воспользовавшись этими признаками представители ESET выяснили, что многие из них охватывают ранее НЕ известные бэкдоры,"

    Иначе получается ерунда, и windigo не проверяют что уже установлены старые бэкдоры, и "специалисты" eset не смогли бы по такой подсказке найти новых, известных windigo.

    Но вообще хорошо. "специалисты" eset не могут без готовых how-to.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру