数日前、 ESETの研究者が出版物を出版 その中で、関連する活動に取り組みます。 「Ebury」ルートキット。 報告書によると、エブリー氏は、 2009年から活動している Linux を実行している 400,000 台以上のサーバーと、数百台の FreeBSD、OpenBSD、Solaris ベースのシステムが感染しました。 ESET の報告によると、2023 年末時点でもまだ約 110,000 台のサーバーが Ebury の影響を受けていました。
このスタジオ kernel.org への攻撃が特に関係しています エブリーが関与していた、 新しい詳細を明らかにする さらに、Ebury はドメイン登録サーバー、暗号交換、Tor 出口ノード、およびいくつかの匿名ホスティング プロバイダーでも検出されています。
10 年前、私たちは、金銭的利益を得るために Linux マルウェアを利用したキャンペーンを文書化した「Operation Windigo」と呼ばれるホワイト ペーパーを発行して、Ebury についての意識を高めました。本日、Ebury がどのように進化してきたか、そしてその運営者が Linux サーバー ボットネットを収益化するために使用している新しいマルウェア ファミリについての続報記事を公開します。
最初は 襲撃犯だと思われた kernel.orgサーバーを侵害した 彼らは17日間検出されなかった。 ただし、ESET によると、この期間は Phalanx ルートキットのインストールから計算されたものです。
しかし、そうではありませんでした。 Ebury は 2009 年からサーバー上にすでに存在していました、これにより約 2 年間 root アクセスが許可されました。 Ebury と Phalanx はさまざまな攻撃の一部としてインストールされました さまざまな攻撃者グループによって実行されます。 Ebury バックドアのインストールは、kernel.org インフラストラクチャ内の少なくとも 4 台のサーバーに影響を及ぼし、そのうち 6 台は侵害されて約 XNUMX 年間、残りの XNUMX 台は XNUMX か月間検出されませんでした。
と言われています 攻撃者は551人のユーザーのパスワードハッシュへのアクセスに成功 カーネルメンテナも含めて /etc/shadow に保存されます。これらのアカウント これらは Git にアクセスするために使用されていました.
事件後、パスワードが変更され、デジタル署名を組み込むためにアクセス モデルが改訂されました。影響を受けた 257 人のユーザーのうち、攻撃者はおそらくハッシュを使用し、悪意のある Ebury コンポーネントによって SSH で使用されるパスワードを傍受することにより、平文でパスワードを特定することに成功しました。
悪意のあるコンポーネント Eburyは共有図書館のように広がった これは、root 権限を持つシステムへのリモート接続を確立するために OpenSSH で使用される関数をインターセプトしました。この攻撃は特に kernel.org を標的としたものではなく、その結果、影響を受けたサーバーはスパムの送信、他のシステムで使用するための資格情報の窃取、Web トラフィックのリダイレクト、その他の悪意のある活動の実行に使用されるボットネットの一部となりました。
Ebury マルウェア ファミリ自体も更新されました。新しいメジャー バージョン アップデート 1.8 は、2023 年後半に初めて公開されました。アップデートには、新しい難読化技術、新しいドメイン生成アルゴリズム (DGA)、および Ebury がシステム管理者から隠すために使用するユーザー ルートキットの改善が含まれます。アクティブな場合、プロセス、ファイル、ソケット、さらには割り当てられたメモリ (図 6) も非表示になります。
サーバーに侵入するには、 攻撃者はパッチが適用されていない脆弱性を悪用した サーバーソフトウェアで、パネルのホスティングの失敗やパスワードの傍受など。
さらに、シェルにアクセスできるユーザーの 1 人のパスワードが侵害された後に kernel.org サーバーがハッキングされ、Dirty COW などの脆弱性が権限昇格に使用されたと推定されています。
Ebury の最新バージョンには、バックドアに加えて、Apache httpd 用の追加モジュールが含まれており、プロキシ経由でトラフィックを送信し、ユーザーをリダイレクトし、機密情報を傍受できるようになっていると述べられています。また、転送中の HTTP トラフィックを変更するカーネル モジュールや、ファイアウォールから独自のトラフィックを隠すツールも備えていました。さらに、ホスティング プロバイダー ネットワーク上の SSH 認証情報を傍受して、Adversary-in-the-Middle (AitM) 攻撃を実行するスクリプトも含まれていました。
最後に、あなたがそれについてもっと知ることができることに興味があるなら、あなたはの詳細を調べることができます 次のリンク。