Rootkit SSH Ebury

Description 

Ebury est un rootkit SSH ou cheval de Troie de porte dérobée visant les systèmes d’opération fondés sur Linux. Il est installé par un pirate dans les hôtes exposés au niveau root, soit en remplaçant des fichiers binaires associés à SSH (ssh, sshd, ssh-add, etc.) ou une bibliothèque partagée utilisée par SSH (libkeyutils).

Sur les hôtes infectés, Ebury vole les authentifiants de connexion SSH (nom d’utilisateur et mot de passe) à partir de connexions SSH entrantes et sortantes. Les authentifiants ainsi recueillis sont envoyés à des serveurs de stockage contrôlés par les pirates, lesquels recourent à des paquets simili-DNS de conception spéciale. En outre, les clés privées SSH stockées dans le système compromis aux fins des connexions SSH sortantes sont également volées par les attaquants.

Ebury fournit une porte dérobée que les pirates peuvent utiliser pour accéder à distance à la racine du système des hôtes infectés même si les mots de passe des comptes utilisateurs sont régulièrement modifiés.

Symptômes et détection de l’infection :

Depuis la version 1.5 d’Ebury, un fichier de bibliothèque partagée supplémentaire nommé « libns2.so » est installé, et un correctif a été appliqué au fichier libkeyutils existant afin qu’il soit lié à cette bibliothèque plutôt qu’à libc6. On peut trouver le fichier malveillant « libns2.so » en exécutant la commande suivante, qui ne devrait produire aucun résultat dans les systèmes non infectés.

# find /lib* -type f -name libns2.so

/lib64/libns2.so

Ebury utilise dorénavant des connecteurs réseau de domaine Unix plutôt que des segments de mémoire partagée pour la communication interprocessus. Vous pouvez trouver le connecteur réseau malveillant au moyen de la commande « netstat », comme suit. Encore une fois, les systèmes non infectés ne devraient présenter aucun résultat.

# netstat -nap | grep "@/proc/udevd"

unix  2      [ ACC ]     STREAM     LISTENING     5597     2529/atd     @/proc/udevd 

Une façon de vérifier l’infection consiste en la capture du trafic réseau généré par Ebury transmettant en sortie les mots de passe volés.

  • Connectez-vous au serveur par SSH et lancez une analyse tcpdump.
  • Puis, connectez-vous au serveur dans une autre session SSH pour générer et capturer les paquets simili-DNS Ebury.

Ne vous connectez pas à une autre machine à partir du serveur infecté, car les authentifiants de connexion SSH seront volés.

# tcpdump -p -Annvvs 1500 -i any udp and dst port 53

 Les paquets IP légitimes aux fins de requêtes DNS d’un client à un serveur DNS ressemblent habituellement à ce qui suit (format de sortie tcpdump) :

10:42:21.377649 IP [Client].20353 > [DNS server].53:

                36027+ A? www.google.com. (32)

Les paquets IP transmis à partir des systèmes infectés par Ebury et dissimulant les authentifiants ressemblent à une requête DNS pour une chaîne hexadécimale, suivie d’une adresse IP :

21:31:24.500301 IP [Ebury infected system].42237 > [Ebury IP address].53:
                4619+ A? 5742e5e76c1ab8c01b1defa5.[ssh session source IP address]. (56)

Les anciennes techniques de détection (détermination de l’espace de mémoire partagée occupé par Ebury, ou code de retour de la commande ssh -G témoignant d’un système infecté) ne fonctionnent plus, étant donné que le maliciel a été mis à jour par ses créateurs.

Solution :

Si le système est compromis, vous devez réinstaller en entier votre système d’exploitation sur la machine infectée.

Tout doit être changé et doit être considéré comme compromis, y compris tous les authentifiants utilisées pour les connexions SSH vers la machine infectée ou à partir de la machine infectée, ainsi que toutes les clés privées SSH utilisées pour les connexions sortantes.

Vous pouvez demander la réinstallation du serveur en recourant à la procédure suivante :
https://kb.iweb.com/hc/fr/articles/230242668

Veuillez consulter le document suivant provenant de l’équipe CERT de la Carnegie Mellon University, plus précisément la section E intitulé « Recover from the Intrusion » (rétablissez-vous après une intrusion). Vous y obtiendrez certaines étapes à suivre en ce qui concerne la réinstallation, les sauvegardes et les mots de passe.
https://www.cert.org/tech_tips/win-UNIX-system_compromise.html#E

Références :

Pour plus de détails, veuillez lire les articles suivants :

  1. https://www.cert-bund.de/ebury-faq
  2. http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/ (Désuet – le code du maliciel Ebury a été mis à jour.)
  3. http://blog.eset.ie/2014/03/18/operation-windigo-malware-used-to-attack-over-500000-computers-daily-after-25000-unix-servers-hijacked-by-backdoor-trojan/
  4. ( En anglais) https://documentation.cpanel.net/pages/viewpage.action?pageId=1376644 Why can't I "clean" a hacked machine?
Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk