El Rootkit Ebury de SSH

Descripción

Ebury es un rootkit de SSH/troyano de puerta trasera para sistemas operativos basados en Linux. Ebury es instalado por un atacante en los hosts comprometidos al nivel del root, ya sea al reemplazar binarios relacionados con SSH (ssh, sshd, ssh-add, etc.) o reemplazar una biblioteca compartida utilizada por SSH (libkeyutils).

En hosts infectados, Ebury roba las credenciales de inicio de SSH (usuario+contraseña) desde conexiones SSH entrantes y salientes. Las credenciales recogidas se envían a servidores dropzone controlados por los atacantes mediante paquetes especialmente diseñados similares a paquetes DNS. Además, los atacantes roban las llaves SSH privadas almacenadas en el sistema comprometido para usar en conexiones SSH salientes.

Ebury brinda una puerta trasera (backdoor) que los atacantes pueden usar para obtener una consola root remota en hosts infectados, incluso si las contraseñas para las cuentas de usuario se cambian con frecuencia.

Síntomas y cómo verificar una infección

Desde la versión 1.5 de Ebury, se instala un archivo compartido adicional a la biblioteca llamado "libns2.so" y el archivo existente libkeyutils se revisa para vincularse contra esta biblioteca en vez de libc6. El archivo malicioso "libns2.so" puede ubicarse ejecutando el siguiente comando, que no debería devolver ningún resultado en sistemas limpios.

# find /lib* -type f -name libns2.so

/lib64/libns2.so

Ebury ahora usa sockets de dominio Unix en vez de segmentos de memoria compartida para la comunicación entre procesos. El socket malicioso se puede localizar usando "netstat", de la siguiente manera: (de nuevo, este comando no debería devolver ningún resultado en sistemas limpios).

# netstat -nap | grep "@/proc/udevd"

unix  2      [ ACC ]     STREAM     LISTENING     5597     2529/atd     @/proc/udevd 

Una manera de identificar un servidor infectado es capturar el tráfico de red generado por Ebury, para exfiltrar las contraseñas robadas:

  • Conéctese con el servidor vía ssh y comience un tcpdump
  • luego conéctese al servidor con otra sesión ssh para generar y captar el paquete Ebury similar a DNS.

No se conecte desde el servidor infectado a otro equipo. De lo contrario, las credenciales ssh serán robadas.

# tcpdump -p -Annvvs 1500 -i any udp and dst port 53

 Los paquetes IP legítimos para consultas DNS de un cliente a un servidor DNS generalmente se ven así (formato de salida de tcpdump):

10:42:21.377649 IP [Client].20353 > [DNS server].53:
             36027+ A? www.google.com. (32)

Los paquetes IP enviados por sistemas infectados con Ebury para extraer ilegalmente la credencial se ven como una consulta DNS de una cadena hexadecimal seguida de una dirección IP:

21:31:24.500301 IP [Ebury infected system].42237 > [Ebury IP address].53:
             4619+ A? 5742e5e76c1ab8c01b1defa5.[ssh session source IP address]. (56)

Las técnicas anteriores de verificación (identificar el espacio de memoria compartida de ebury, o el código de retorno ssh) ya no funcionan porque el malware fue actualizado por los autores.

Resolución

Si el sistema está en peligro, usted debe VOLVER a instalar todo su sistema operativo en la máquina comprometida. Todas las credenciales de inicio de sesión usadas con conexiones de SSH hacia o desde un equipo infectado, así como llaves de SSH privadas usadas con conexiones salientes deben considerarse comprometidas y también deben cambiarse. Puede solicitar una nueva instalación del servidor mediante el siguiente procedimiento:
https://kb.iweb.com/hc/es/articles/230242668

Consulte el siguiente documento del Equipo de Respuesta ante Emergencias Informáticas (CERT) de la Universidad Carnegie Mellon, concretamente a la sección E tiulada "Recover from the Intrusion" (Recuperación de la intrusión) para ver algunos pasos sobre lo que se debe hacer para la instalación, el respaldo y contraseñas: https://www.cert.org/tech_tips/win-UNIX-system_compromise.html#E

Referencias

Para obtener más información, lea los siguientes artículos en inglés:

  1. https://www.cert-bund.de/ebury-faq
  2. http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/ (Desactualizado: el código malicioso de Ebury se ha actualizado)
  3. http://blog.eset.ie/2014/03/18/operation-windigo-malware-used-to-attack-over-500000-computers-daily-after-25000-unix-servers-hijacked-by-backdoor-trojan/
  4. https://documentation.cpanel.net/pages/viewpage.action?pageId=1376644 Why can't I "clean" a hacked machine?
¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk