Symantec wykrył backdoora na Linuxie który potrafi
samodzielnie zaimplementować ukryty protokół komunikacyjny aby ukryć swoją
obecność. Prawdopodobnie ten sam złośliwy kod został użyty do zhakowania serwerowni
Hetzner w maju.
Backdoora ciężko jest wykryć ponieważ wstrzykuje swoją
transmisje w istniejący ruch SSH (który jest de facto szyfrowany). Atakujący
użyli backoora w celu wykradzenia bazy danych klientów szyfrując połączenie
algorytmem Blowfish. Złośliwy kod na zainfekowanym serwerze zbiera informacje
takie jak hostname, IP address, port, hasło, klucz SSH i nazwę użytkownika,
które następnie szyfruje i wysyła do C&C.
Symantec zdradza że implementacja takiego backdoora była
spowodowana tym że atakujący byli świadomi zaawansowanego poziomu
bezpieczeństwa sieci i użyli go w celu uniknięcia wykrycia poprzez systemy
bezpieczeństwa.
“This backdoor allowed an
attacker to perform the usual functionality — such as executing remote commands
— however, the backdoor did not open a network socket or attempt to connect to
a command-and-control server (C&C). Rather, the backdoor code was injected
into the SSH process to monitor network traffic and look for the following
sequence of characters: colon, exclamation mark, semi-colon, period (“:!;.”).
After seeing this pattern, the back door would parse the rest of the traffic
and then extract commands which had been encrypted with Blowfish and Base64
encoded.”
W celu uniknięcia wykrycia Backdoor praktycznie nie używa
własnego kanału komunikacji, zamiast tego wykorzystuje poszczególne sekwencje
znaków do wstrzykiwania własnego ruchu w ramach legalnych danych wymienianych w
trakcie połączenia SSH.
Symantec podkreśla że tego rodzaju Backdoor różni się od
wcześniej wykrytych i sugeruje nową taktykę obieraną przez cyber przestępców w
budowaniu złośliwych kodów.
Symantec opublikował skrypt który pozwoli na sprawdzenie czy mamy zainfekowany komputer
Blazej Malczak
Symantec opublikował skrypt który pozwoli na sprawdzenie czy mamy zainfekowany komputer
Blazej Malczak
Brak komentarzy:
Prześlij komentarz