+38/044/257-2444
+38/067/502-3306
+38/050/370-3627
Новости

ESET сообщает об обнаружении семейства бэкдоров OpenSSH

ESET сообщает об обнаружении семейства бэкдоров OpenSSH

ESET сообщает об обнаружении семейства бэкдоров OpenSSH. Исследователи ESET опубликовали документ, посвященный 21 семейству бэкдора OpenSSH, развернутым в реальной среде.

SSH (сокращенно от Secure Sheell) — это сетевой протокол для удаленного подключения к компьютерам и устройствам через зашифрованную ссылку. Он обычно используется для управления серверами Linux с помощью текстовой консоли. SSH — это самый распространенный способ управления для системных администраторов виртуальными, облачными или арендованными выделенными серверами Linux.

Вскоре после исследования Windigo специалисты ESET перевели подписи из скрипта Perl в правилах YARA и использовали их для поиска образцов вредоносного программного обеспечения с разных каналов. Исследователи собрали образцы за период более 3 лет и после фильтрации ложных срабатываний получили несколько сотен троянских OpenSSH-файлов.

Некоторые из обнаруженных бэкдоров не являются особенно новыми или интересными с технической точки зрения. Однако, существует несколько исключений, которые показывают, что некоторые злоумышленники прилагают много усилий для сохранения своих ботнетов.

Один из них — Kessel, который выделяется многими способами коммуникации с командным сервером. Он реализует HTTP, незащищенные TCP и DNS. Кроме кражи учетных данных, командный сервер также имеет возможность отправлять дополнительные команды, такие как загрузка файлов с или на инфицированное устройство. Вся связь с командным сервером также зашифрована. Бэкдор Kessel является достаточно новым: домен командного сервера был зарегистрирован в августе 2018 года.

Поскольку данные, которые проанализировали специалисты ESET, были вредоносными образцами, взятыми вне их контекста, трудно определить первичные векторы инфицирования. Техника инфицирования может включать в себя: использование учетных данных, похищенных после пользования компрометирующим клиентом SSH, подбором логина и пароля, распространением или эксплуатацией уязвимой сервисной службы.

Чтобы предотвратить опасность вашей системы, специалисты ESET рекомендуют:

  • Регулярно обновлять систему
  • Отдавать предпочтение аутентификации на основе ключевых слов для SSH
  • Отключить отдаленные входы в систему от имени администратора
  • Использовать для SSH многофакторную аутентификацию

Другие новости