Operation Windigo: 10.000 μολυσμένοι linux servers ανακατευθύνουν 500.000 επισκέπτες σε κακόβουλα sites καθημερινά

[nnn]

Η ESET δημοσίευσε την τεχνική ανάλυση του Linux/Ebury OpenSSH backdoor και υποκλοπέα credentials που ανακάλυψε τον προηγούμενο μήνα και που εδώ και αρκετές εβδομάδες έχει μολύνει χιλιάδες servers που τρέχουν linux.

Με την κωδική ονομασία Operation Windigo το όλο σχήμα λειτουργεί με βάση μολυσμένα συστήματα, έχοντας μολύνει 25.000 linux servers τα τελευταία 2 χρόνια με πάνω από 10.000 να είναι ακόμα και σήμερα μολυσμένοι, ενώ το γκρουπ πίσω από την μόλυνση υποκλέπτει δεδομένα από τους επισκέπτες των servers, ανακατευθύνει τα θύματα του σε κακόβουλο περιεχόμενο και στέλνει μηνύματα spam.

Credential Stealing

Credentials are intercepted at multiple locations, when they are typed or used by the victim:

Password from successful login to the infected server: Whenever someone logs in a system infected with Linux/Ebury, the sshd daemon will save the password and send it to the exfiltration server.

Any password login attempt to the infected server: Even if the attempt is unsuccessful, the username and password used will be sent to the operators. They will be formatted differently, however, allowing the operators to differentiate these invalid credentials from the valid ones.

Password on successful login from the infected server: When someone uses the ssh client on an infected server, Linux/Ebury will intercept the password and sent it to its exfiltration server.

Private key passphrase: When the ssh client on an infected server prompts the user for an private key passphrase, the passphrase will be sent to the remote exfiltration server.

Unencrypted private key: When a private key is used to authenticate to a remote server, the unencrypted version is intercepted by the malware. Unlike passwords, it will not send the key to the exfiltration server. Instead, it will store it memory and wait for the operators to fetch the key with the Xcat command.

Private keys added to the OpenSSH agent with ssh-add: The keys added to an OpenSSH agent are also intercepted by the malware. Both the unencrypted key itself and the passphrase typed by the user will be logged.

Whatever the credential type, Linux/Ebury will add all relevant information for the operators to be able to use it, like the username, the target IP address and its OpenSSH listening port.

Το πρόβλημα είναι εντονότερο στις Γερμανία, Γαλλία, Αγγλία και Αμερική και οι μολυσμένοι servers
ανακατευθύνουν καθημερινά 500.000 επισκέπτες σε κακόβουλα sites και τα ευάλωτα λειτουργικά τους περιλαμβάνουν Linux, FreeBSD, OpenBSD, OS X, και Windows (με Perl μέσω Cygwin).

Πηγή : The NextWeb

Technical Analysis by ESET

[Tiven]

Ελπίζουμε να βγάλει η MS σύντομα καινούριο Malicious Software Removal Tool.

Spoiler:

[purpleaura]

Το Linux δεν πιάνει ιούς!!!

[dimitri_ns]

Το Linux δεν πιάνει ιούς!!!

Δεν είναι ιός, είναι rootkit

"We feel it is important to specify that we have not witnessed a weakness in the OpenSSH software itself"

Περισσότερα https://www.cert-bund.de/ebury-faq
Δυστυχώς δεν καθαρίζεται προς το παρόν, χρειάζεται reinstall του server.

[Nikiforos]

Δεν νομιζω οτι ειπε κανεις οτι δεν πιανει, δεν συμφερει να κανουν γενικα για ευνοητους νομιζω λογους, καποιος αλλαξε γνωμη....εξαλου οι επισκεπτες που θα πανε στα κακοβουλα sites θα ειναι windows users κυριως!!!! αρα απο εκει αλλα θα γινουν δλδ μακελειο! btw ESET antivirus εχουμε στην δουλεια μου με XP! http://www.eset.com/gr/download/home/detail/family/71/
@dimitri_ns δλδ με αυτο που λεει στην σελιδα που εδωσες καποιος που το εχει παθει θα επρεπε να λεει μεσα root ή αλλον χρηστη?

Κώδικας:

# ipcs -m
------ Shared Memory Segments --------
key        shmid      owner     perms      bytes      nattch
0x00000000     0      peter     600        393216     2
0x00000000 32769      paul      600        393216     2
0x000006e0 65538      root      666        3283128    0

[Helix]

Το Linux δεν πιάνει ιούς!!!

Χάρηκες, ε;

[blade_]

και αυτο το αβατο αρχιζει να πεφτει σιγα σιγα...

[Nikiforos]

Δεν εχει καμια σχεση αυτο με τις περιπτωσεις στα win ομως. Και δεν ειναι και ιος αυτο ακριβως, διαβαστε να δειτε και πιστευω οτι αφορα καθαρα ΜΟΝΟ servers και οχι οικιακη χρηση, οποτε δεν εχουμε τπτ να φοβηθουμε. Και τα antivirus για linux που υπαρχουν σε servers τα βαζουν, σπανιως καποιος σε desktop/laptοp θα βαλει, και εγω δεν εχω βαλει ποτε. Εξαλου κατι σαν αυτο παλι δεν το πιανει οπως φαινεται. Εδω εκμεταλευεται το openSSH, καλο ειναι να μην τον τρεχουμε συνεχεια χωρις λογο. Και εγω δεν τον εχω βαλει να ξεκιναει αυτοματα μονο αμα τον χρειαζομαι τον ανοιγω systemctl start sshd σωστα Helix?

[Helix]

Δεν εχει καμια σχεση αυτο με τις περιπτωσεις στα win ομως. Και δεν ειναι και ιος αυτο ακριβως, διαβαστε να δειτε και πιστευω οτι αφορα καθαρα ΜΟΝΟ servers και οχι οικιακη χρηση, οποτε δεν εχουμε τπτ να φοβηθουμε. Και τα antivirus για linux που υπαρχουν σε servers τα βαζουν, σπανιως καποιος σε desktop/laptοp θα βαλει, και εγω δεν εχω βαλει ποτε. Εξαλου κατι σαν αυτο παλι δεν το πιανει οπως φαινεται. Εδω εκμεταλευεται το openSSH, καλο ειναι να μην τον τρεχουμε συνεχεια χωρις λογο. Και εγω δεν τον εχω βαλει να ξεκιναει αυτοματα μονο αμα τον χρειαζομαι τον ανοιγω systemctl start sshd σωστα Helix?

Σωστός.

[Nikiforos]

μια φορα ετρεχα ssh server σε iphone 4 και το ειχα παρατησει ανοιχτο και καποιος χωθηκε μεσα! μετα το ειδα και το εκλεισα. ΛΟΛ! ειδικα αν δεν εχουμε firewall! anyway εδω εχει ενδιαφέροντα πραγματα σχετικα με το SSH https://wiki.archlinux.org/index.php/Secure_Shell και σχετικα με την ασφαλεια https://wiki.archlinux.org/index.php/Sshguard και https://wiki.archlinux.org/index.php/Fail2ban φανταζομαι αρκετοι servers με linux θα παιζουν και με arch. Παντως για να λεμε και το στραβου το δικιο μπορει το αρθρο να λεει για linux αλλα οχι οτι με το openssh για win δεν μπορει να γινει κατι παρομοιο.
Eδω λέει περισσότερα στοιχεια : http://www.symantec.com/connect/blog...ration-windigo

[dimitri_ns]

@dimitri_ns δλδ με αυτο που λεει στην σελιδα που εδωσες καποιος που το εχει παθει θα επρεπε να λεει μεσα root ή αλλον χρηστη?

Κώδικας:

# ipcs -m
------ Shared Memory Segments --------
key        shmid      owner     perms      bytes      nattch
0x00000000     0      peter     600        393216     2
0x00000000 32769      paul      600        393216     2
0x000006e0 65538      root      666        3283128    0

Ξαναδιάβασέ το αν σ' ενδιαφέρει πιό προσεκτικά
Συνήθως είναι root αλλά στην προσπάθειά του να κρυφτεί παίρνει κι άλλα ονόματα.

Please note that some versions of Ebury change the ownership of segments from 'root' to other users existing on the system (like 'apache' or 'smmsp') to make the segments look more legitimate. Example

# ipcs -m
------ Shared Memory Segments --------
key shmid owner perms bytes nattch
0x0000020c 32768 root 644 16384 2
0x00000469 65538 101 666 4313584 0
0x0000047a 131075 smmsp 666 3966496 0

Το βασικότερο είναι το 666 (full permissions) και μέγεθος μεγαλύτερο από 3 ΜΒ

[Nikiforos]

Αξίζει να σημειωθεί ότι, παρόλο που οι μολυσμένοι από το Windigo ιστότοποι προσπαθούν να μολύνουν τους υπολογιστές χρηστών Windows που τους επισκέπτονται μέσω ενός exploit kit, οι χρήστες Mac λαμβάνουν διαφημίσεις για sites γνωριμιών και οι κάτοχοι iPhone ανακατευθύνονται σε διαδικτυακούς τόπους με περιεχόμενο για ενηλίκους.

«Το backdoor Ebury, που έχει αναπτυχθεί από την Επιχείριση Windigo, δεν εκμεταλλεύεται αδυναμίες σε Linux ή OpenSSH», συνεχίζει ο Léveillé. «Αντίθετα, εγκαθίσταται χειροκίνητα από τον κακόβουλο εισβολέα.

ΠΗΓΗ : http://www.thelab.gr/eidiseis/operat...ei-133683.html

Αν κατάλαβα δλδ καλά με λίγα λόγια σημαίνει οτι αυτη η ομάδα "φυτεψε" το rootkit ΧΕΙΡΟΚΙΝΗΤΑ σε τόσους χιλιάδες servers και πως αποκτησε προσβαση? βρήκε τους κωδικούς του root? firewall δεν είχαν?

[dimitri_ns]

Το Linux δεν πιάνει ιούς!!!

Κακώς χαίρεσαι, γιατί για να δουλέψουν τα win σου, επικοινωνούν με servers που στην συντριπτική τους πλειοψηφία τρέχουν nix (linux, bsd klp)

- - - Updated - - -

Αν κατάλαβα δλδ καλά με λίγα λόγια σημαίνει οτι αυτη η ομάδα "φυτεψε" το rootkit ΧΕΙΡΟΚΙΝΗΤΑ σε τόσους χιλιάδες servers και πως αποκτησε προσβαση? βρήκε τους κωδικούς του root? firewall δεν είχαν?

Αυτό ακριβώς κάνουν τα rootkit. Δικαιώματα υπερχρήστη

http://el.wikipedia.org/wiki/Rootkit

Γι αυτό υπάρχουν και τα προγράμματα που παρακολουθούν την κίνηση data σε ένα δίκτυο, ώστε να ενημερωθεί ο admin για ότι περίεργο παρουσιαστεί. Πάντα θα υπάρχει κάτι νέο και ώσπου να ανακαλυφθεί και να αντιμετωπιστεί ο μόνος τρόπος είναι η παρακολούθηση του δικτύου για περίεργη συμπεριφορά.

Νομίζεις ότι αν μπεί η nsa, θα καταλάβεις τίποτα? Κινέζοι και Ρώσοι κάτι θα καταλάβουν

[GigaSat]

Όπως το βλέπω δεν θα έκαναν εγκατάσταση τα security updates στους servers ....

[Nikiforos]

Οπως και να εχει το θεμα αυτο προεκυψε απο απροσεξια των διαχειριστων των συγκεκριμενων servers αλλιως δεν θα υπηρχε αυτο το προβλημα τωρα. Αυτο εκμεταλλευονται ολοι αυτοι οι hackers τροπους να τρυπωσουν σε ενα συστημα να κανουν κακο σε αλλους ή να υποκλεψουν πληροφοριες. Το θεμα ειναι να μαθουμε πως ακριβως γινονται αυτα για να προσεχουμε.
@dimitri_ns καλες εξηγησεις στο wikipedia δλδ οπως τα διαβαζω θα μπορουσε να γινει κατι παρομοιο και σε android?