Operation Windigo: 10.000 μολυσμένοι servers ανακατευθύνουν 500.000 επισκέπτες /ημέρα

20 Mar

Η ESET δημοσίευσε την τεχνική ανάλυση του Linux/Ebury OpenSSH backdoor και υποκλοπέα credentials που ανακάλυψε τον προηγούμενο μήνα και που εδώ και αρκετές εβδομάδες έχει μολύνει χιλιάδες servers που τρέχουν linux.

Με την κωδική ονομασία Operation Windigo το όλο σχήμα λειτουργεί με βάση μολυσμένα συστήματα, έχοντας μολύνει 25.000 linux servers τα τελευταία 2 χρόνια με πάνω από 10.000 να είναι ακόμα και σήμερα μολυσμένοι, ενώ το γκρουπ πίσω από την μόλυνση υποκλέπτει δεδομένα από τους επισκέπτες των servers, ανακατευθύνει τα θύματα του σε κακόβουλο περιεχόμενο και στέλνει μηνύματα spam.

Credential Stealing

Credentials are intercepted at multiple locations, when they are typed or used by the victim:

Password from successful login to the infected server: Whenever someone logs in a system infected with Linux/Ebury, the sshd daemon will save the password and send it to the exfiltration server.

Any password login attempt to the infected server: Even if the attempt is unsuccessful, the username and password used will be sent to the operators. They will be formatted differently, however, allowing the operators to differentiate these invalid credentials from the valid ones.

Password on successful login from the infected server: When someone uses the ssh client on an infected server, Linux/Ebury will intercept the password and sent it to its exfiltration server.

Private key passphrase: When the ssh client on an infected server prompts the user for an private key passphrase, the passphrase will be sent to the remote exfiltration server.

Unencrypted private key: When a private key is used to authenticate to a remote server, the unencrypted version is intercepted by the malware. Unlike passwords, it will not send the key to the exfiltration server. Instead, it will store it memory and wait for the operators to fetch the key with the Xcat command.

Private keys added to the OpenSSH agent with ssh-add: The keys added to an OpenSSH agent are also intercepted by the malware. Both the unencrypted key itself and the passphrase typed by the user will be logged.

Whatever the credential type, Linux/Ebury will add all relevant information for the operators to be able to use it, like the username, the target IP address and its OpenSSH listening port.

Το πρόβλημα είναι εντονότερο στις Γερμανία, Γαλλία, Αγγλία και Αμερική και οι μολυσμένοι servers
ανακατευθύνουν καθημερινά 500.000 επισκέπτες σε κακόβουλα sites και τα ευάλωτα λειτουργικά τους περιλαμβάνουν Linux, FreeBSD, OpenBSD, OS X, και Windows (με Perl μέσω Cygwin).


Leave a comment

Posted by on 20 March, 2014 in MinOtavrS blog


Tags: , , , ,

Leave a Reply

Fill in your details below or click an icon to log in: Logo

You are commenting using your account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )


Connecting to %s

%d bloggers like this: