研究人员发现了十几个未记载的OpenSSH后门

ESET安全研究人员发现了12个新的OpenSSH后门系列，这些后门以前没有记录过。

SSH网络协议允许远程连接计算机和设备。OpenSSH的可移植版本几乎在所有Linux发行版中都实现了，攻击者希望在受损Linux服务器中维护持久性，通常会对已安装的OpenSSH服务器和客户端进行后门操作。 

ESET在最近的一份报告（PDF）中解释说，有了免费提供的OpenSSH代码，攻击者很容易构建后门版本。此外，OpenSSH可以让攻击者不被发现，而OpenSSH守护程序和客户端可以看到明文形式的密码，这有助于攻击者窃取凭据。

寻找在外利用的OpenSSH后门期间（四年前Windigo行动开始），ESET的研究人员发现了21种不同的OpenSSH恶意软件系列的样本，其中12种以前没有记录过。 

研究人员表示，分析发现后门实现的复杂程度不同，窃取SSH凭证的渗透技术很有创造性。网络犯罪分子和威胁行为者都使用OpenSSH后门，这些后门具有类似功能和不同的复杂程度。 

由于修改和重新编译了原始的可移植OpenSSH源代码，许多被分析的恶意软件样本都具有相似之处。ESET发现，创造者总是针对一些关键的修改功能进行修改。 

所发现的样本都没有使用复杂的混淆方法，其中大多数都记录了用户提供的密码，几乎所有样本都将凭证复制到本地文件中。然而，几乎一半的后门系列除了将凭证存储到本地文件之外，还包含了推送凭证的方法，有些系列还会通过电子邮件窃取凭证。 

除了凭据泄露之外，恶意软件运营商正在研究如何轻松连接到受感染的计算机，他们通常会使用硬编码密码。创造者还试图特洛伊木马化OpenSSH守护程序，以防止root登录，删除系统上的痕迹以及绕过日志记录功能。 

在分析的后门中，安全研究人员发现了四个实现显著特性的功能，包括Chandrila（可以通过SSH密码接收命令），Bonadan（加密货币挖掘）和Kessel（包括机器人功能）。

显著突出的第四个后门是Kamino，2013年与DarkLeech有关，但几年后被Carbanak帮派使用。这可能表明，黑客们将重点从大规模传播恶意软件转向了针对性目标攻击。 

“由于这两次攻击的动机都是经济收益，这是完全可行的。此外，鉴于DarkLeech在2014年Carbanak被发现之前不久就消失了，因此认为两次攻击都来自同一组织也不无道理，“ESET说。 

然而，安全研究人员还指出，这些团体可能雇用同一个人来处理Linux服务器，他们可能从地下市场购买了后门，或者不同的组织使用了两种恶意软件系列（鉴于DarkLeech也在暗网被出售）。

在他们的调查过程中，研究人员发现Mimban后门仍处于活动状态，其操作员会手动登录到受感染的机器上。Borleias运营商在登录时使用Tor，并且还拥有Mimban凭证，这表明两者之间存在联系。 

“我们的原始数据大多是恶意软件样本，缺少相关信息。因此，很难确定用于将这些OpenSSH后门安装到系统中的感染载体。我们知道，我们分析的所有后门都包含凭证窃取功能。研究人员指出，这表明他们可以使用窃取到的证书进行传播。 

ESET的报告还详细介绍了调查期间分析的21个OpenSSH后门系列。报告下载地址：

https://www.welivesecurity.com/wp-content/uploads/2018/12/ESET-The_Dark_Side_of_the_ForSSHe.pdf

来源：https://www.securityweek.com/researchers-find-dozen-undocumented-openssh-backdoors