Дослідники ESET проаналізували ряд бекдорів OpenSSH

Компанія ESET — експерт у галузі інформаційної безпеки — повідомляє про виявлення сімейства бекдорів OpenSSH. Дослідники ESET опублікували документ, присвячений 21 сімейству бекдора OpenSSH, розгорнутим в реальному середовищі. 

SSH (скорочено від Secure Sheell) — це мережевий протокол для віддаленого підключення до комп'ютерів та пристроїв через зашифроване посилання. Він зазвичай використовується для управління серверами Linux за допомогою текстової консолі. SSH — це найпоширеніший спосіб управління для системних адміністраторів віртуальними, хмарними або орендованими виділеними серверами Linux. 

Незабаром після дослідження Windigo спеціалісти ESET переклали підписи зі скрипта Perl в правилах YARA та використовували їх для пошуку зразків шкідливого програмного забезпечення з різних каналів. Дослідники зібрали зразки за період більше 3 років та після фільтрації помилкових спрацьовувань отримали кілька сотень троянських OpenSSH-файлів. 

Деякі з виявлених бекдорів не є особливо новими або цікавими з технічної точки зору. Однак, існує декілька винятків, які показують, що деякі зловмисники докладають багато зусиль для збереження своїх ботнетів. 

Один з них — Kessel, який виділяється багатьма способами комунікації з командним сервером. Він реалізує HTTP, незахищені TCP та DNS. Крім викрадення облікових даних, командний сервер також має можливість надсилати додаткові команди, такі як завантаження файлів з або на інфікований пристрій. Весь зв'язок з командним сервером також зашифрований. Бекдор Kessel є досить новим: домен командного сервера був зареєстрований в серпні 2018 року. 

Оскільки дані, які проаналізували спеціалісти ESET, були шкідливими зразками, взятими поза їх контекстом, важко визначити первинні вектори інфікування. Техніка інфікування може включати в себе: використання облікових даних, викрадених після користування компрометуючим клієнтом SSH, підбором логіна та паролю, розповсюдженням або експлуатацією уразливої сервісної служби. 

Щоб запобігти небезпеці вашої системи, спеціалісти ESET рекомендують:

  • Регулярно оновлювати систему
  • Віддавати перевагу аутентифікації на основі ключових слів для SSH
  • Вимкнути віддалені входи в систему від імені адміністратора
  • Використовувати для SSH багатофакторну аутентифікацію

Детальніше про OpenSSH читайте у дослідженні, доступному за посиланням.