Opération Windigo : un botnet cible les serveurs Linux et deploie des backdoors ssh

[gruik]

l'ami Snorky a relayée cette information ce matin sur le salon irc, on partage donc pour le plus grand nombre ici

(...) une vaste campagne d’attaques cybercriminelles enclenchée depuis 2011. Baptisée Windigo, la campagne avait pour objectif d’attaquer les serveurs UNIX. Un choix stratégique qui peut se comprendre si on prend en considération le fait que plus de 60% des sites web sont hébergés sur des serveurs de ce type.
(...)
une fois le serveur contaminé, il participe au transit d’une grande quantité de spam (...) pour un ordinateur sous Windows visitant un site infecté, Windigo, tente d’installer un malware via un kit d’« exploit ». En revanche, Windigo affiche des publicités de sites de rencontres pour les utilisateurs sous MAC OS. Les possesseurs d’iPhone, quant à eux, sont redirigés vers des contenus pornographiques.
(...)
Depuis 2 ans et demi, Windigo s’est renforcé en prenant le contrôle de 10 000 serveurs, sans être détecté par la communauté d’experts en sécurité
(...)
les hackers ont eu recours à une backdoor OpenSSH dénommée Ebury qui a dû être installée manuellement (...)

alors "un botnet de 10K machines", me direz-vous, "c'est pas non plus la fin des harricots, j'ai déjà vu plus gros Monsieur", c'est sûr, mais notre propos n'est évidemment pas de juger ou de nous la péter non, le but ici est de t'informer toi, geek, qui usuellement te contente de poncer des challenges ou troller ce que tu as du mal à coder, et te fournir autant que possible une lecture claire des enjeux et de comment passer à travers le champs de mine avec ton VPS ou ton dédié OVH qui héberge du Joomla

bon, allons un peu plus loin rapidement :

ESET recommande aux administrateurs systèmes sous UNIX et aux webmasters d'exécuter la ligne de commande suivante afin de vérifier l'intégrité de leur système :

Code :

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

concrètement cette ligne invoque ssh et parse le résultat, si on trouve le mot "illegal" ou "unknown" le systeme est infecté, sinon on considère qu'il est sain
ceux parmis vous ayant un oeil averti auront remarqué l'option -G qui n'existe à priori pas sur la version d'OpenSSH, on peut imaginer que l'option n'existe que sur la version backdoorée, mais ça reste une supposition

le CERT-Bund, collaborateur de l'ESET sur ce dossier, nous dit :

Ebury is a SSH rootkit/backdoor trojan for Linux and Unix-style operating systems (...) It is installed by attackers on root-level compromised hosts by either replacing SSH related binaries (ssh, sshd, ssh-add, etc.) or a shared library used by SSH (libkeyutils).

On infected hosts, Ebury steals SSH login credentials (...) from incoming and outgoing SSH connections.
The harvested credentials are sent to dropzone servers controlled by the attackers using specially crafted DNS-like packets.
(...)
Ebury provides a backdoor the attackers can use to get a remote root shell on infected hosts even if passwords for user accounts are changed on a regular basis.

une jolie petite saloperie en somme, vous en conviendrez
en outre le CERT-Bund donne une autre méthode de vérification pour savoir la machine est infectée en vérifiant les segments de mémoire partagée (ipcs -m), on vous invite à consulter la section appropriée sur ladite page
il nous dit aussi, chose aussi marrante qu'importante :

ClamAV or tools like chkrootkit or rkhunter currently do not detect Ebury.

avis à ceux qui ont toujours cru que rkhunter servait à quelque chose sans aller voir comment ça marche à l'intérieur

enfin CERT-Bund nous dit sur cette page de FAQ que non, ça ne sert à rien de passer au debsums ou autre, suivant comment aura été infectée la machine le tool ne détectera rien, joie.

concernant l'obtention du compte root sur la machine, là encore on trouve un peu de tout :
- vous vous connectez en ssh à une machine déjà infectée (ndgruik: mais si elle est infectée c'est que l'attaquant était déjà root non ? bref..)
- vos identifiants sont volés depuis une machine windows à l'aide d'un infostealer/keylogger qui va taper dans la base de credentials de votre putty
- votre machine fait partie du réseau cPanel, ils se sont fait pirater, donc si vous avez une machine chez eux vous êtes marrons aussi, gg
- et bien évidement à l'aide d'exploits contre des softs pas à jour, comprenez des softs qui mènent à un shell root y'en a pas des tonnes non plus, pour rooter à la pelle le plus simple c'est d'aller taper sur le kernel

alors, ma machine est infectée, que dois-je faire ?!
c'est simple, tu peux la reinstaller, toute autre option est fantaisiste d'un point de vue sécurité si on est un peu sérieux, ils ont le root : ta machine est considérée "portée disparue & probablement morte au combat", c'est moche la guerre...

ce qu'en pense votre dévoué serviteur bienaimé :
- les vecteurs de propagation sont multiples, multi-os, et les attaquants rongent le SSH jusqu'à sa moelle pour en extraire le maximum
- ayez des machines (windows à la maison, linux sur le serveur, ...) à jour, patchez votre kernel avec grsecurity quand c'est possible, utilisez un compte avec des privilèges restreints sous windows; vous passerez au dessus d'un bon 90% safe, m'est avis
- des outils comme AIDE, Tripwire ou OSSEC, qualifiés de "HIDS" permettent de scanner régulièrement les fichiers qui ont changé sur votre système Linux, pour peu que vous le configuriez correctement la moindre tentative de remplacement de /usr/sbin/ssh pourra être détectée

si vous avez des informations additionnelles et/ou des conseils avisés, n'hésitez pas à les partager
et si c'est votre première soirée au Fight Club, vous devez vous battre !

[ark]

Ouhla, j'avais pas vu ce post sur IRC, cc'est vrai que ça à l'air d'être une sacrée merde ce truc...
Je tiens à ajouter ce qui vient de se dire sur IRC à l'instant, si vous avez un sample, mettez le de coté ;) Bon nombre d'entre nous se feront une joie de l'analyser!!