Az Ebury 2009 óta működik, és jelenleg több mint 400,000 XNUMX Linux szervert érint

ESET-kép, amely az Ebury elkövetői és egy mézesedény közötti iterációkat mutatja

Pár napja, Az ESET kutatói publikációt tettek közzé amelyben a kapcsolódó tevékenységekkel foglalkoznak "Ebury" rootkit. A jelentés szerint Ebury 2009 óta működik és több mint 400,000 2023 Linuxot futtató szervert, valamint több száz FreeBSD, OpenBSD és Solaris alapú rendszert fertőzött meg. Az ESET jelentése szerint 110,000 végén még körülbelül XNUMX XNUMX szervert érintett az Ebury.

Ez a stúdió különösen fontos a kernel.org elleni támadás miatt amelyben Ebury részt vett, új részleteket árul el A Linux kernel fejlesztői infrastruktúrájába való 2011-es beszivárgással kapcsolatban. Ezen túlmenően, az Eburyt észlelték domain regisztrációs szervereken, kriptocsere-központokon, Tor kilépési csomópontokon és számos névtelen tárhelyszolgáltatón.

Tíz évvel ezelőtt felhívtuk a figyelmet az Eburyre az Operation Windigo nevű fehér könyv közzétételével, amely egy kampányt dokumentált, amely pénzügyi haszonszerzés céljából kihasználta a Linux kártevőit. Ma egy folytatásos cikket teszünk közzé arról, hogyan fejlődött az Ebury, és milyen új rosszindulatú programcsaládokat használnak az üzemeltetők, hogy bevételt szerezzenek Linux-kiszolgáló botnetjükből.

kezdetben azt hitték, hogy a támadók amely veszélyeztette a kernel.org szervereket 17 napig észrevétlenül maradtak. Az ESET szerint azonban ezt az időszakot a Phalanx rootkit telepítésétől számították.

De ez nem így volt, hiszen Ebury, amely már 2009 óta jelen volt a szervereken, és ez körülbelül két évig tette lehetővé a root hozzáférést. Az Ebury és a Phalanx különböző támadások részeként került telepítésre különböző támadócsoportok hajtják végre. Az Ebury hátsó ajtó telepítése legalább 4 kiszolgálót érintett a kernel.org infrastruktúrában, amelyek közül kettőt körülbelül két évig, a másik kettőt pedig 6 hónapig nem észlelték és feltörték.

Megemlítik, hogy a A támadóknak 551 felhasználó jelszókivonatához sikerült hozzáférniük az /etc/shadow fájlban tárolva, beleértve a kernel karbantartókat is. Ezek a számlák A Git elérésére használták őket.

Az incidens után módosították a jelszavakat, és a hozzáférési modellt átdolgozták a digitális aláírások beépítése érdekében. A 257 érintett felhasználó közül a támadóknak sikerült egyértelmű szövegben meghatározniuk a jelszavakat, valószínűleg hash-ek és a rosszindulatú Ebury-komponens SSH-ban használt jelszavak elfogásával.

A rosszindulatú összetevő Az Ebury megosztott könyvtárként terjedt el amely elfogta az OpenSSH-ban a root jogosultságokkal rendelkező rendszerekkel való távoli kapcsolatok létrehozására használt függvényeket. Ez a támadás nem kifejezetten a kernel.org-ot célozta meg, és ennek eredményeként az érintett szerverek egy botnet részévé váltak, amelyet spam küldésére, hitelesítő adatok ellopására használtak más rendszereken való használatra, webforgalom átirányítására és egyéb rosszindulatú tevékenységek végrehajtására.

Maga az Ebury malware család is frissült. Az új, nagy verziójú, 1.8-as frissítést először 2023 végén látták. A frissítések között szerepelnek az új obfuszkációs technikák, az új tartománygeneráló algoritmus (DGA), valamint az Ebury által a rendszergazdák elől való elrejtőzésre használt felhasználói rootkit fejlesztései. Ha aktív, a folyamat, a fájl, a socket és még a lefoglalt memória is el van rejtve (6. ábra).

A szerverekbe való behatolás érdekében a A támadók kihasználták a javítatlan sebezhetőségeket szerverszoftverben, mint például a hosting panelek hibái és az elfogott jelszavak.

Ezen túlmenően feltételezhető, hogy a kernel.org szervereket feltörték, miután feltörték az egyik shell-hozzáféréssel rendelkező felhasználó jelszavát, és olyan sebezhetőségeket használtak fel, mint a Dirty COW, a jogosultságok kiterjesztésére.

Megemlítik, hogy az Ebury legújabb verziói a hátsó ajtón kívül további modulokat is tartalmaztak az Apache httpd-hez, lehetővé téve a forgalom proxyn keresztüli küldését, a felhasználók átirányítását és a bizalmas információk elfogását. Ezenkívül rendelkeztek egy kernelmodullal a HTTP-forgalom módosítására az átvitel során, valamint olyan eszközökkel, amelyek elrejtették saját forgalmukat a tűzfalak elől. Ezenkívül szkripteket is tartalmaztak az Adversary-in-the-Middle (AitM) támadások végrehajtására, amelyek elfogták az SSH hitelesítő adatokat a tárhelyszolgáltatói hálózatokon.

Végül, ha többet szeretne megtudni róla, tájékozódhat a részletekről a következő link.


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: AB Internet Networks 2008 SL
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.