ESET安全研究人员发现了12个新的OpenSSH后门系列,这些后门以前没有记录过。
SSH网络协议允许远程连接计算机和设备。OpenSSH的可移植版本几乎在所有Linux发行版中都实现了,攻击者希望在受损Linux服务器中维护持久性,通常会对已安装的OpenSSH服务器和客户端进行后门操作。
ESET在最近的一份报告(PDF)中解释说,有了免费提供的OpenSSH代码,攻击者很容易构建后门版本。此外,OpenSSH可以让攻击者不被发现,而OpenSSH守护程序和客户端可以看到明文形式的密码,这有助于攻击者窃取凭据。
寻找在外利用的OpenSSH后门期间(四年前Windigo行动开始),ESET的研究人员发现了21种不同的OpenSSH恶意软件系列的样本,其中12种以前没有记录过。
研究人员表示,分析发现后门实现的复杂程度不同,窃取SSH凭证的渗透技术很有创造性。网络犯罪分子和威胁行为者都使用OpenSSH后门,这些后门具有类似功能和不同的复杂程度。
由于修改和重新编译了原始的可移植OpenSSH源代码,许多被分析的恶意软件样本都具有相似之处。ESET发现,创造者总是针对一些关键的修改功能进行修改。
所发现的样本都没有使用复杂的混淆方法,其中大多数都记录了用户提供的密码,几乎所有样本都将凭证复制到本地文件中。然而,几乎一半的后门系列除了将凭证存储到本地文件之外,还包含了推送凭证的方法,有些系列还会通过电子邮件窃取凭证。
除了凭据泄露之外,恶意软件运营商正在研究如何轻松连接到受感染的计算机,他们通常会使用硬编码密码。创造者还试图特洛伊木马化OpenSSH守护程序,以防止root登录,删除系统上的痕迹以及绕过日志记录功能。
在分析的后门中,安全研究人员发现了四个实现显著特性的功能,包括Chandrila(可以通过SSH密码接收命令),Bonadan(加密货币挖掘)和Kessel(包括机器人功能)。
显著突出的第四个后门是Kamino,2013年与DarkLeech有关,但几年后被Carbanak帮派使用。这可能表明,黑客们将重点从大规模传播恶意软件转向了针对性目标攻击。
“由于这两次攻击的动机都是经济收益,这是完全可行的。此外,鉴于DarkLeech在2014年Carbanak被发现之前不久就消失了,因此认为两次攻击都来自同一组织也不无道理,“ESET说。
然而,安全研究人员还指出,这些团体可能雇用同一个人来处理Linux服务器,他们可能从地下市场购买了后门,或者不同的组织使用了两种恶意软件系列(鉴于DarkLeech也在暗网被出售)。
在他们的调查过程中,研究人员发现Mimban后门仍处于活动状态,其操作员会手动登录到受感染的机器上。Borleias运营商在登录时使用Tor,并且还拥有Mimban凭证,这表明两者之间存在联系。
“我们的原始数据大多是恶意软件样本,缺少相关信息。因此,很难确定用于将这些OpenSSH后门安装到系统中的感染载体。我们知道,我们分析的所有后门都包含凭证窃取功能。研究人员指出,这表明他们可以使用窃取到的证书进行传播。
ESET的报告还详细介绍了调查期间分析的21个OpenSSH后门系列。报告下载地址:
https://www.welivesecurity.com/wp-content/uploads/2018/12/ESET-The_Dark_Side_of_the_ForSSHe.pdf
来源:https://www.securityweek.com/researchers-find-dozen-undocumented-openssh-backdoors