Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH

В блоге Лаборатории Касперского появилась заметка с разбором последствий взлома двух Linux-хостов, используемых злоумышленниками для управления Windows-машинами, пораженными троянским ПО Duqu. Хосты были представлены для анализа после того, как злоумышленники пытаясь замести следы, удалили содержимое директорий "/var/log" и "/root" с серверов. Так как данные были очищены через простое удаление файлов без обнуления областей диска, проанализировав остаточные данные на дисковых разделах удалось достаточно полно восстановить активность после взлома.

Из всей активности злоумышленников наибольший интерес вызывают операции, связанные с OpenSSH, которым трудно найти логическое объяснение. На обоих хостах атакующие сразу после проникновения по каким-то причинам обновили OpenSSH с версии 4.3 до версии 5.x. На первом сервере в качестве обновления были использованы исходные тексты пакета openssh_5.8p1-4ubuntu1.debian.tar.gz из репозиториев Ubuntu, троянских вставок клиенте и сервере ssh не обнаружено (MD5-хэш копии соответствовал оригиналу). Спустя 5 месяцев было установлено обновление OpenSSH 5.8p2. На втором сервере новая версия была установлена из стандартного репозитория (yum install openssh5). После обновления в настройки "sshd_config" были добавлены две строки "GSSAPIAuthentication yes" и "UseDNS no" (обе опции прекрасно поддерживаются и в версии 4.3).

В настоящее время можно только предполагать, зачем атакующие после взлома обновили OpenSSH. Одна из гипотез указывает на вероятное наличие в OpenSSH 4.3 уязвимости, через которую злоумышленники проникли в систему и потом решили закрыть лазейку для других атакующих. Например, в OpenSSH 4.4 была устранена потенциальная уязвимость, проявляющаяся до стадии аутентификации и связанная с GSSAPI (активность в логе, напоминающая подбор пароля, может быть связана с достижением нужных условий "race condition"). Вторая, более правдоподобная гипотеза, связана с тем, что злоумышленникам понадобились какие-то функции, поддержка которых отсутствовала в OpenSSH 4.3 (например, появившийся в версии 5.4 режим netcat мог использоваться для создания вложенных туннелей). Но в любом случае не понятно зачем было нужно выполнять обновление OpenSSH 5.8p1 до версии 5.8p2.

В качестве наиболее вероятного способа проникновения в систему рассматривается результат атаки по подбору пароля для пользователя root, которому был разрешён вход по SSH. В пользу этого предположения свидетельствует череда неудачных попыток входа, окончившихся удачным входом. Против данной гипотезы указывает то, что пароль был подобран после относительно небольшого числа попыток и перед первым удачным входом был восьмиминутный перерыв (после удачного применения эксплоита атакующий мог сменить пароль и войти штатными средствами).

Кроме двух упомянутых в статье серверов, аналогичные системы были выявлены в Индии, Вьетнаме, Германии, Сингапуре, Великобритании и других странах. Взлом серверов был произведён ещё в ноябре 2009 года. Опасение также вызывает тот факт, что все управляющие работой Duqu серверы были взломаны аналогичным образом и работали только под CentOS 5.x (5.4, 5.5 и 5.2). Возможно для атаки использовался какой-то эксплоит, рассчитанный на поражение CentOS.

http://www.opennet.ru/opennews/art.shtml?num=32437