Gerelateerde artikelen:
Tags:
SSH-aanvallers installeren rootkit op Linux-systemen
27-08-2008,11:21 door
Het Amerikaanse Computer Emergency Readiness Team (CERT) waarschuwt voor "actieve aanvallen" tegen Linux-systemen. Door middel van gestolen SSH-keys weten de aanvallers toegang tot de systemen te krijgen, die daarna via local kernel exploits hun rechten verhogen. Hebben ze root-toegang, dan installeren ze de phalanx2 rootkit, die SSH-keys steelt. De gestolen keys stuurt de rootkit naar de aanvallers, waarmee ze andere sites en systemen aanvallen. Phalanx2 zou een verbeterde versie van de oudere phalanx rootkit zijn.
Phalanx is een kernel rootkit die uit 2005 stamt en voor de Linux 2.6 branch ontwikkeld is. De malware laat aanvallers bestanden, processen en sockets verbergen en bevat een tty sniffer, een tty connectback-backdoor en een "auto injection on boot".
Phalanx2 is op de volgende manieren te detecteren:
Het US-Cert benadrukt dat de aanpassingen die de rootkit in de configuratie doorvoert er voor kunnen zorgen dat bovenstaande aanwijzingen niet opgaan. Een andere manier om de rootkit te vinden is te zoeken naar verborgen processen en de uitkomst van /etc te vergelijken met het aantal directories dat ls laat zien.
Om het risico van een aanval te beperken adviseert de Amerikaanse waarschuwingsdienst om "proactief" systemen te identificeren waar SSH-keys onderdeel van een geautomatiseerd systeem zijn. Die hebben vaak geen passphrase of wachtwoord. Het gebruik van passphrases is dan ook het tweede punt dat US-Cert aanraadt. Als laatste is het verstandig om de toegang te controleren en ervoor te zorgen het systeem volledig gepatcht is.
Mocht het systeem toch zijn gehackt, dan moet de beheerder authenticatie via SSH-keys uitschakelen, een audit van alle SSH-keys op het systeem laten uitvoeren en alle eigenaren van een key inlichten dat die mogelijk gecompromitteerd is. Veel details over de aanval zijn nog onbekend, maar experts denken dat het Debian random number generator lek er iets mee te maken heeft.
Phalanx is een kernel rootkit die uit 2005 stamt en voor de Linux 2.6 branch ontwikkeld is. De malware laat aanvallers bestanden, processen en sockets verbergen en bevat een tty sniffer, een tty connectback-backdoor en een "auto injection on boot".
Phalanx2 is op de volgende manieren te detecteren:
- "ls" laat geen directory "/etc/khubd.p2/" zien, maar is te benaderen via "cd /etc/khubd.p2".
- "/dev/shm/" kan bestanden van de aanval bevatten.
- De directory "khubd.p2" is niet via "ls" op te vragen, maar is wel te benaderen via "cd".
Het US-Cert benadrukt dat de aanpassingen die de rootkit in de configuratie doorvoert er voor kunnen zorgen dat bovenstaande aanwijzingen niet opgaan. Een andere manier om de rootkit te vinden is te zoeken naar verborgen processen en de uitkomst van /etc te vergelijken met het aantal directories dat ls laat zien.
Om het risico van een aanval te beperken adviseert de Amerikaanse waarschuwingsdienst om "proactief" systemen te identificeren waar SSH-keys onderdeel van een geautomatiseerd systeem zijn. Die hebben vaak geen passphrase of wachtwoord. Het gebruik van passphrases is dan ook het tweede punt dat US-Cert aanraadt. Als laatste is het verstandig om de toegang te controleren en ervoor te zorgen het systeem volledig gepatcht is.
Mocht het systeem toch zijn gehackt, dan moet de beheerder authenticatie via SSH-keys uitschakelen, een audit van alle SSH-keys op het systeem laten uitvoeren en alle eigenaren van een key inlichten dat die mogelijk gecompromitteerd is. Veel details over de aanval zijn nog onbekend, maar experts denken dat het Debian random number generator lek er iets mee te maken heeft.
