При взломе управляющих трояном DuQu серверах, атакующие обновляли OpenSSH

1/12/2011 22:48

Как показало исследование Linux-серверов применяемых для контроля над зараженными трояном DuQu Windows-системами, все сервера работали под управлением CentOS 5.x (5.4, 5.5 и 5.2), а первым действием злоумышленников на серверах стало обновление версии OpenSSH. На двух проанализированных серверах атакующие сразу после проникновения по каким-то причинам обновили OpenSSH с версии 4.3 до версии 5.x. На первом сервере в качестве обновления были использованы исходные тексты пакета openssh_5.8p1-4ubuntu1.debian.tar.gz из репозиториев Ubuntu, троянских вставок в клиенте и сервере ssh не обнаружено (MD5-хэш копии соответствовал оригиналу). Спустя 5 месяцев было установлено обновление OpenSSH 5.8p2. На втором сервере новая версия была установлена из стандартного репозитория (yum install openssh5). После обновления в настройки "sshd_config" были добавлены две строки "GSSAPIAuthentication yes" и "UseDNS no" (обе опции прекрасно поддерживаются и в версии 4.3). В настоящее время можно только предполагать, зачем атакующие после взлома обновили OpenSSH. Одна из гипотез указывает на вероятное наличие в OpenSSH 4.3 уязвимости, через которую злоумышленники проникли в систему и потом решили закрыть лазейку для других атакующих. Например, в OpenSSH 4.4 была устранена потенциальная уязвимость, проявляющаяся до стадии аутентификации и связанная с GSSAPI (активность в логе, напоминающая подбор пароля, может быть связана с достижением нужных условий "race condition"). Вторая, более правдоподобная гипотеза, связана с тем, что злоумышленникам понадобились какие-то функции, поддержка которых отсутствовала в OpenSSH 4.3 (например, появившийся в версии 5.4 режим netcat мог использоваться для создания вложенных туннелей). Но в любом случае не понятно зачем было нужно выполнять обновление OpenSSH 5.8p1 до версии 5.8p2. В качестве наиболее вероятного способа проникновения в систему рассматривается результат атаки по подбору пароля для пользователя root, которому был разрешён вход по SSH. В пользу этого предположения свидетельствует череда неудачных попыток входа, окончившихся удачным входом. Против данной гипотезы указывает то, что пароль был подобран после относительно небольшого числа попыток и перед первым удачным входом был восьмиминутный перерыв (после удачного применения эксплоита атакующий мог сменить пароль и войти штатными средствами). Кроме двух упомянутых в статье серверов, аналогичные системы были выявлены в Индии, Вьетнаме, Германии, Сингапуре, Великобритании и других странах. Взлом серверов был произведён ещё в ноябре 2009 года.
Источник