Die Analyse der ESET-Forscher
In dem Whitepaper ‚The dark side of the ForSSHe. A landscape of OpenSSH Backdoors‘ haben die ESET-Forscher nun die Ergebnisse ihrer Analyse veröffentlicht, wie linux-magazin.de dazu berichtete.
Die Untersuchgen basieren auf einer genaueren Analyse des Windigo-Botnets. Dieses Netz basiert auf der Ebury-OpenSSH-Backdoor, um sich auf Linux-Servern auszubreiten. Nun sind weitere Varianten dieser Backdoor aufgetaucht. Ebury selbst läuft neben Linux auch auf anderen Unix-Systemen wie FreeBSD oder Solaris. Der Angreifer benötigt Root-Zugriff, um die Backdoor zu installieren. Die Backdoor modifiziert zahlreiche SSH-Programme wie beispielsweise ssh, sshd und ssh-add. Auch verändert sie von SSH verwendetet Shared Libraries wie libkeyutils. Danach sammelt Ebury Account-Daten von SSH-Benutzern des Systems, welche dann an Dropzone-Server geschickt werden. Die Daten werden dabei in DNS-Paketen versteckt. Daneben kann sich ein Angreifer auch über eine Root-Shell jederzeit wieder in das System einloggen.
Backdoor in OpenSSH
Die eigentliche Ausbreitung der Malware basiert vermutlich auf Wörterbuch-Attacken, um in OpenSSH-Server einzubrechen. Danach baut die Malware eine Backdoor in OpenSSH ein, so dass Angreifer später wieder Zugriff erlangen. Auch Sicherheitslücken in der Server-Software kommen für den Einbruch in die Systeme in Frage.
Weiterführende Links:
Linux-Nutzer von Crypto-Miner bedroht
linux-magazin.de: Gefahr durch OpenSSH Backdoors