התגלו 12 דלתות אחוריות חדשות במערכת לינוקס
מאת:
מערכת Telecom News, 6.12.18, 13:01
הכלים העוצמתיים הללו נותנים לתוקפים שליטה מלאה במערכות של שרתי לינוקס, והם משמשים גם קבוצות פשיעה וגם קבוצות OpenSSH. מה מומלץ לעסקים וארגונים לעשות?
חברת אבטחת המידע
ESET הודיעה על הממצא האחרון שלה - 12 משפחות נוזקות חדשות ללינוקס המתבססות על
OpenSSH, שמתועדות ומתוארות במחקר האחרון שלה, "הצד האפל של
ForSShe".
הכלים העוצמתיים הללו נותנים לתוקפים שליטה מלאה במערכות של שרתי לינוקס, והם משמשים גם קבוצות פשיעה וגם קבוצות
.OpenSSH
APT הוא הכלי הנפוץ ביותר בקרב מנהלי מערכות לניהול של שרתי לינוקס פיזיים, וירטואליים ושרתים בענן. מכיוון ש-37% משרתי האינטרנט, שנגישים לציבור, מתבססים על לינוקס, במקרים רבים פרוטוקול ה-
OpenSSH הוא נקודת התורפה אותה מנצלים התוקפים כדי לקבל לשליטה מלאה בשרתים שאותם הם תוקפים.
המחקר, שכלל הפצה של מלכודות דבש ייחודיות, סיווג של מדגמים וניתוח של משפחות נוזקות שונות, מספק סקירה של המצב הנוכחי של פרצות ב-
OpenSSH. באמצעות ניתוח המדגמים, חוקרי החברה חשפו כמה טריקים מעניינים.
אחת הנוזקות משתמשת בכמה דרכים שונות כדי ליצור קשר עם שרת השליטה והבקרה שלה, תוך שימוש בפרוטוקולי
HTTP, TCP ו-
DNS. משפחות אחרות של נוזקות היו מסוגלות לקבל פקודות דרך סיסמת ה-
SSH. אחרות כללו אפשרות לכריית מטבעות דיגיטליים.
המחקר החדש נובע מהמסקנות אותן הסיקה החברה מהמחקר אודות
Windigo ב-2013, בו חוקריה חשפו נוזקת
Botnet מורכבת למערכות מבוססות לינוקס, שכונתה מבצע
Windigo, וסייעו לפגוע בפעולתה של נוזקת ה-
Botnet, שפגעה ב-25,000 שרתים.
המרכיב העיקרי של נוזקת
Windigo היה פרצה מבוססת
OpenSSH הנקראת
Ebury. החוקרים ציינו, שהתוקפים בחנו האם יש פרצות
SSH אחרות במערכת היעד לפני ששלחו את הנוזקה. מכיוון שרוב הנוזקות לא היו מוכרות באותו הזמן, החברה החליטה לחקור אותן, והמחקר האחרון הוא התוצאה של המאמץ הרב שהושקע בכיוון הזה.
כדי להגן על המערכות והנתונים, מומלץ לעסקים לבצע את הצעדים הבאים:
לעדכן את כל המערכות באופן קבוע
להעדיף אימות מבוסס-מפתח ל-
SSH
לבטל את אפשרות ההתחברות מרחוק למשתמש
root
להשתמש בפתרון אימות רב-שלבי ל-
SSH.
מארק-אטיין לֶוֵויֵיה, חוקר נוזקות בכיר ב-
ESET, שהוביל את המחקר: "לפעמים אני עדיין שומע את האמרה הישנה האומרת, שמערכת לינוקס בטוחה יותר ממערכות הפעלה אחרות ושהיא חסינה לנוזקות. עם זאת, האיומים איתם מערכת ההפעלה הזאת מתמודדת אינם קלים יותר, ואנו מקדישים משאבים רבים כדי לחקור אותם ולשפר את ההגנה מפניהם.
אני מקווה ,שהתגליות האלו תיפתחנה את האפשרות לשיפורים משמעותיים במניעת מתקפות מבוססות
OpenSSH בשרתי לינוקס, זיהוי שלהן וטיפול בהן. שרתים, שעברו פריצה הם, סיוט-סייבר של ממש, אבל באמצעות עבודה משותפת, מנהלי רשת וחוקרי נוזקות יכולים לעזור אחד לשני כדי להילחם יחד בנוזקות צד-שרת".