21 сімейство бекдорів OpenSSH виявили у компанії ESEТ. Про це йдеться у дослідженні Windigo, опублікованому фахівцями.
SSH (скорочено від Secure Sheell) — це мережевий протокол для віддаленого підключення до комп’ютерів та пристроїв через зашифроване посилання. Він зазвичай використовується для управління серверами Linux за допомогою текстової консолі. SSH — це найпоширеніший спосіб управління для системних адміністраторів віртуальними, хмарними або орендованими виділеними серверами Linux.
Незабаром після дослідження Windigo спеціалісти ESET переклали підписи зі скрипта Perl в правилах YARA та використовували їх для пошуку зразків шкідливого програмного забезпечення з різних каналів. Дослідники зібрали зразки за період більше 3 років та після фільтрації помилкових спрацьовувань отримали кілька сотень троянських OpenSSH-файлів.
Деякі з виявлених бекдорів не є особливо новими або цікавими з технічної точки зору. Однак, існує декілька винятків, які показують, що деякі зловмисники докладають багато зусиль для збереження своїх ботнетів.
Один з них — Kessel, який виділяється багатьма способами комунікації з командним сервером. Він реалізує HTTP, незахищені TCP та DNS. Крім викрадення облікових даних, командний сервер також має можливість надсилати додаткові команди, такі як завантаження файлів з або на інфікований пристрій. Весь зв’язок з командним сервером також зашифрований. Бекдор Kessel є досить новим: домен командного сервера був зареєстрований в серпні 2018 року.
Оскільки дані, які проаналізували спеціалісти ESET, були шкідливими зразками, взятими поза їх контекстом, важко визначити первинні вектори інфікування. Техніка інфікування може включати в себе: використання облікових даних, викрадених після користування компрометуючим клієнтом SSH, підбором логіна та паролю, розповсюдженням або експлуатацією уразливої сервісної служби.
Щоб запобігти небезпеці вашої системи, спеціалісти ESET рекомендують:
- Регулярно оновлювати систему.
- Віддавати перевагу аутентифікації на основі ключів для SSH.
- Вимкнути віддалені входи в систему від імені адміністратора.
- Використовувати для SSH багатофакторну аутентифікацію.