Компания ESET опубликовала (https://www.welivesecurity.com/2018/12/05/dark-side-of-the-f.../) (PDF (https://www.welivesecurity.com/wp-content/uploads/2018/12/ES...), 53 стр.) итоги анализа троянских пакетов, устанавливаемых злоумышленниками после компрометации Linux-хостов для оставления бэкдора или для перехвата паролей пользователя в момент подключения к другим хостам. Все рассмотренные варианты троянского ПО подменяли компоненты серверного процесса или клиента OpenSSH.
18 выявленных вариантов включало функции перехвата вводимых паролей и ключей шифрования, а 17 предоставляли функции бэкдора, позволяющие злоумышленнику скрыто получить доступ к взломанному хосту, используя предопределённый пароль. Вредоносные компоненты внедрялись после успешной атаки на систему - как правило злоумышленники получали доступ через подбор типовых паролей или эксплуатацию известных уязвимостей в web-приложениях или серверных обработчиках, после чего применяли эксплоиты для повышения своих привилегий на необновлённых системах.
Внимания заслуживает история выявления данных вредоносных программ. В процессе анализа ботнета Windigo исследователи обратили внимание на код для подмены ssh бэкдором Ebury, который перед своим запуском проверял факт установки других бэкдоров для OpenSSH. Для проверки использовался список из 40 хэшей SHA-1 (https://github.com/eset/malware-ioc/tree/master/sshdoor). Воспользовавшись этими хэшами представители ESET выяснили, что многие хэши не охватывают ранее известные бэкдоры, после чего приступили к поиску недостающих экземпляров, в том числе развернув сеть подставных уязвимых honeypot-серверов. В итоге, был выделен 21 вариант подменяющих SSH троянских пакетов, которые остаются актуальными в последние годы.
Для определения подменённых компонентов OpenSSH подготовлена сводная таблица (https://github.com/eset/malware-ioc/tree/master/sshdoor) с характерными признаками каждого вида SSH-троянов, такими как создаваемые дополнительные файлы в системе и пароли для доступа через бэкдор. Например, в некоторых случаев для ведения лога перехваченных паролей использовались такие файлы, как:
- "/usr/include/sn.h",
- "/usr/lib/mozilla/extensions/mozzlia.ini",
- "/usr/local/share/man/man1/Openssh.1",
- "/etc/ssh/ssh_known_hosts",
- "/usr/share/boot.sync",
- "/usr/lib/libpanel.so.a.3",
- "/usr/lib/libcurl.a.2.1",
- "/var/log/utmp",
- "/usr/share/man/man5/ttyl.5.gz",
- "/usr/share/man/man0/.cache",
- "/var/tmp/.pipe.sock",
- "/etc/ssh/.sshd_auth",
- "/usr/include/X11/sessmgr/coredump.in",
- "/etc/gshadow--",
- "/etc/X11/.pr"
URL: https://www.welivesecurity.com/2018/12/05/dark-side-of-the-f.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=49759
/etc/gshadow-- ваще палево.
Косит под бэкап файла. Если админ лох и файло не чекает, название его не смутит.
Что за бред?
/etc/ssh/ssh_known_hosts — валидный файл, почитайте доки на OpenSSH, что ли.
это имя приложения
> Что за бред?
> /etc/ssh/ssh_known_hosts — валидный файл, почитайте доки на OpenSSH, что ли.
> это имя приложенияОдин бред круче другого. Новость не читай — сразу комментируй!
> Что за бред?
> /etc/ssh/ssh_known_hosts — валидный файл, почитайте доки на OpenSSH, что ли.В /etc/ssh он разве что теоретически может быть (обычно в ~/.ssh), этим и пользуются вредоносы.
> В /etc/ssh он разве что теоретически может быть (обычно в ~/.ssh), этим
> и пользуются вредоносы.В ~/.ssh пользовательский, а в /etc/ssh системный, он там не теоретически, а вполне себе бывает на серьезных системах, ты хоть man открой
Теоретические предположения обычно расходится с практикой. Глобальный ssh_known_hosts - это очень и очень узкоспециализированные решения для каких нибудь кластеров и типовых ферм, в обычной жизни, на серверах, которые можно взломать подбором пароля или хакнув пять лет не обновлявшийся WordPress, встречаются крайней редко.
Анон, ты - дурень?
/etc/ssh/ssh_known_hosts2
/etc/ssh/ssh_known_hosts
>> Например, в некоторых случаев для ведения лога перехваченных паролей использовались такие файлы, как:
>> /etc/ssh/ssh_known_hosts
> Что за бред?
> /etc/ssh/ssh_known_hosts — валидный файл, почитайте доки на OpenSSH, что ли.Как это должно помешать записывать туда "всем желающим" перехваченные пароли?
Ну так формат позволяет писать туда свои данные (например, под видом комментариев).
поостерегусь запускать перловый скрипт непонято от кого.
стремные регэкспы, странные строковые константы, подозрительные названия функций
небось еще и рута просит
> поостерегусь запускать перловый скрипт непонято от кого.
> стремные регэкспы, странные строковые константы, подозрительные названия функций
> небось еще и рута просит# This script is a modified and tidied version of the signatures used by the
# Windigo operators to detect OpenSSH backdoors. It has been stripped to keep
# only the relevent parts.
#
# It is not guaranteed to run correctly. It is only to exhibit the full set of
# signatures.
какбэ намекают что пострипали то, что посчитали нужным из малвари, но корректный запуск не гарантируют
curl | bash - это модно и молодёжно!
В Go сделали автоскачивание всего, чтобы облегчить внутригугловую разработку. Хипстеры за пределами гугла это не поняли и сделали себе дыру в безопасности, не говоря уже про усложнение работы в оффлайне.
А хипстеры не понимают, как это "работать в оффлайне" (откуда же код еопипастить тогда?)
заведи юзера, запусти, удали юзера.
в чем проблема то?
Что-то он даже не запускается (11.12.2018 11:23:25 root@host:~$./windigo_signatures.pl
./windigo_signatures.pl: line 8: syntax error near unexpected token `('
./windigo_signatures.pl: line 8: `my %pw = ('11.12.2018 11:23:28 root@host:~$perl ./windigo_signatures.pl
Can't call method "f" on an undefined value at ./windigo_signatures.pl line 224.
> Что-то он даже не запускается (
> 11.12.2018 11:23:25 root@host:~$./windigo_signatures.pl
> ./windigo_signatures.pl: line 8: syntax error near unexpected token `('
> ./windigo_signatures.pl: line 8: `my %pw = ('
> 11.12.2018 11:23:28 root@host:~$perl ./windigo_signatures.pl
> Can't call method "f" on an undefined value at ./windigo_signatures.pl line 224.читать хотя бы комментарии к коду не принято? ;)
Используйте YARA правила для описания зловредов!Использование YARA очень удобно, понятно, наглядно.
И самое главное что написанные вами YARA правила для зловредов срезу станут доступны для использования во многих антивирусах, включая ClamAV.
YARA - рулит!!!Костыли на перле и сводная таблица - отстой.
https://github.com/eset/malware-ioc/blob/master/sshdoor/sshd...Кто знает ссылки на другие YARA правила с описанием вирей пишите в этой ветке. Я их колекционирую и буду очень благодарен.
Дешёвый пиар от подобия на антивирусное ПО. Так желтит, что аж коричнево
После того, как M$ опрокинула рынок "типа антивирусного" ПО, надо же куда-то силы прикладывать ...
Где про это почитать?
I read only "Компания ESET", and that was enough for me.
Я так понимаю, что для внедрения трояна надо дать права root?
Типичный вирус...)))Скорее всего "скомпромметированные" - это d-link, tp-link и пр. microtik где был бекдор, а его пароль стал общеизвестным...
>Я так понимаю, что для внедрения трояна надо дать права root?надо, но, из-за повальной уязвимости операционных систем на базе linux, это не является сколько-нибудь значимой преградой
Давай я тебе дам IPшник сервера с ОС на базе ядра Linux, а ты докажешь на его примере повальные уязвимости, положишь мне в /srv/web файл содержимое которого будет заранее известно всему OpenNET. Если ты не сможешь это сделать за 24 часа, то ты выплачиваешь мне 10000 долларов США, если сможешь, то я выплачиваю эту сумму тебе.
А то визжать про уязвимости каждый может, а как спросишь у такого как ты «Ну и где же уязвимость?», так сразу вы в кусты сматываетесь
чувак, за сутки - не. за месяц - реально. только чур не обновляться :))
Давай, смелый ты наш, но только не за бабки, а за спортивный интерес, в случае успеха - анонимность уязвимости гарантирую (гарантируем).
> Давай, смелый ты наш, но только не за бабки, а за спортивный
> интерес, в случае успеха - анонимность уязвимости гарантирую (гарантируем).То есть за деньги ты боишься, потому что ты точно знаешь, что обгадишься. Без денег мне не интересно.
> Давай я тебе дам IPшник сервера с ОС на базе ядра LinuxНу ты молодец, отличник, медалист 🏅, трудяга и всё такое — спору нет.
А больше половины линуксовых устройств в сети 🕸 не имеют заплаток на дыры, многие небезопасно сконфигурированы и так далее.
Можно хоть обхохочтаться, но это реальность.
> 10000 долларов СШАО, давай. Только договор через юриста, чтоб не соскочил.
Если найду файлы обновленные позже даты новости минус 24 часа, а именно 11(10)-Дек-18, 11:16 и такой же аптайм,
то автоматом выплачиваете 10000$, за попытку и/или модификации ctime/mtime - штраф 5000$
За очистку логов, history ещё штраф 5000$
>> 10000 долларов США
> О, давай. Только договор через юриста, чтоб не соскочил.
> Если найду файлы обновленные позже даты новости минус 24 часа, а именно
> 11(10)-Дек-18, 11:16 и такой же аптайм,
> то автоматом выплачиваете 10000$, за попытку и/или модификации ctime/mtime - штраф 5000$
> За очистку логов, history ещё штраф 5000$Павлин, я-то согласен и через юриста, что бы ты не соскочил. Не «не позже даты новости», а запрет на любые ручные обновления с момента, как начинается отсчет суток тебе на взлом. Вот как он настроен, так ты и пытаешься ломать. Сервер при этом реальный и боевой, работает как работает, специально ничего не настраиваю. 10 тысяч с тебя если проиграешь, еще 10 тысяч штрафа за использование уркаганской лексики, типа «соскочил»
>[оверквотинг удален]
> 10 тысяч с тебя если проиграешь,Пиши dixlor@gmail.com
> еще 10 тысяч штрафа за использование уркаганской лексики, типа «соскочил»
Нежный, ты не соскакивай с темы, очканул так и пиши. А то детские отмазки, скучно...
Хотя у тебя есть шанс избежать позора "последнего лоха" - сменить аккаунт :)
> типа «соскочил»Где же ты, диванный воин, рыцарь локахоста?
Я так понимаю, что сервера на базе линукса были взломаны, там чужие дяди и тети хозяйничали, а хозяева сервера ни сном ни духом.
Ну это те админы, что с ухмылочкой говорят "этож линукс, по него полтора вируса и те устанавливать нужно".
Нда, антивирусы под линукс не нужны, ага, как и системы обнаружения вторжений.
Типа залогинился кто-то, а тебе на сотовый смс приходит и/или на почту, в мессенджер и так далее.
И идея запретить по ssh логиниться руту - уже не кажется бредовой.
> Типа залогинился кто-то, а тебе на сотовый смс приходит и/или на почту,
> в мессенджер и так далее.Это делается штатным образом через /etc/ssh/sshrc. Ну или через скрипт в /etc/profile.d/.
> И идея запретить по ssh логиниться руту - уже не кажется бредовой.
Какая разница какой пользователь логинится по ssh с использованием ключа?
> Это делается штатным образом через /etc/ssh/sshrc. Ну или через скрипт в /etc/profile.d/....
> Какая разница какой пользователь логинится по ssh с использованием ключа?Ты же только что сделал уведомления по СМС?
Сидишь в бане с телочками, тебе смска, а ключик-то дома... опа... додрачивать будешь в маршрутке.
> И идея запретить по ssh логиниться руту - уже не кажется бредовой.современные девляпсы тебя не поймут.
А чуть менее современные заводят юзера vasya (так звали поза-поза-поза-позапрошлого админа) с паролем 123qwe321 , дают ему sudo без ограничений, а логин рутом да, запрещают-запрещают, отлично спрятались, можно годами сервер не проверять, вирусов же не бывает.осталось догадаться, кто это такие трахают мне 22й порт с интенсивностью полсотни коннектов в минуту (а если б там не было фильтра - то бы и пароли подбирали с той же увлеченностью. Оно, кстати, умудряется подбирать довольно непростые.)
windows, наверное.и спам с опенрелеев на базе швятого неуязвимого поцфикса тоже видимо винда проклятая шлет.
> сводная таблица с характерными признаками каждого вида SSH-троянов,Спасибо, что предупредили, будем придумывать новые :)
какой позор! еще и гентушник... как не стыдно! где совесть?
скажите пажста а кто эти люди которые беспредельничают вирусами ...
Свой велик с нуля писать конечно нестоит. А вот обвязки разные вокруг ClamAV и прочие полезные вещи, для удобства настроек, развёртывания, интеграции с другими системами поиска вирей и уязвимостей в ГНУ/Линуксе желательны.Каждый админ городит свои костыли, а сообща можно будет сделать хорошую антивирусную систему для Линукс интегрирующую множество разных аспектов.
Можно завести в форуме OpenNETа тему и начать обсуждать идеи. Своими костылями покруче упоминаемого здесь перлового скрипта готов поделится.
"Воспользовавшись этими признаками представители ESET выяснили, что многие из них не охватывают ранее известные бэкдоры,"Это должно звучать так
"Воспользовавшись этими признаками представители ESET выяснили, что многие из них охватывают ранее НЕ известные бэкдоры,"
Иначе получается ерунда, и windigo не проверяют что уже установлены старые бэкдоры, и "специалисты" eset не смогли бы по такой подсказке найти новых, известных windigo.
Но вообще хорошо. "специалисты" eset не могут без готовых how-to.