Cybersecurity Malware

ด้านมืดของ ForSSHe

อีกด้านของ OpenSSH กับ Linux ที่คนส่วนมากไม่เคยเห็นมาก่อน

นักวิจัยของ ESET พบสายพันธุ์มัลแวร์ Linux ที่มีพื้นฐานเป็น OpenSSH โดยเขียนในรายงาน “The Dark Side of the ForSSHe” ที่มีการวิเคราะห์มัลแวร์ 21 ตัว โดยมีจุดประสงค์เพื่อพัฒนาการป้องกัน การตรวจจับ และลดผลกระทบจากภัยคุกคามเหล่านี้

SSH ย่อมาจาก Secure SHell คือเครือข่ายโปรโตคอลที่เชื่อมต่อคอมพิวเตอร์และอุปกรณ์รีโมตผ่านลิงก์เข้ารหัสเครือข่าย ซึ่งโดยทั่วไปแล้วจะใช้ในการจัดการเซิร์ฟเวอร์ Linux ด้วย Text-mode Console และเป็นที่นิยมของผู้ดูแลระบบ เพื่อบริหารจัดการ Virtual, Cloud หรือ เซิร์ฟเวอร์ Linux

ในทางปฏิบัติแล้วในชุดระบบปฏิบัติการ Linux จะมี OpenSSH เวอร์ชั่น Portable และแฮกเกอร์ก็มักใช้ backdoor เจาะเข้าเซิร์ฟเวอร์ OpenSSH ในการฝังตัวบนเซิร์ฟเวอร์ Linux

วิธีการรับมือภัยคุกคามแบบนี้ นักวิจัยของ ESET ติดตาม backdoor ของ OpenSSH ทั้งที่รู้จักและไม่รู้จัก เราเริ่มการตรวจสอบจากข้อมูลที่รวบรวมมาก่อนหน้า อย่าง Operation Windigo รวมถึง Ebury ที่เป็น backdoor OpenSSH ที่ขโมยข้อมูลจากคอมพิวเตอร์ Linux นับหมื่นทั่วโลก

เปิดโปงด้านมืด

จากการวิเคราะห์ทั้งหมด 21 สายพันธุ์ ตัวอย่างที่เก็บมากว่า 3 ปี หลังจากกรอง False Positives นี่เป็น 2 ผลลัพธ์ที่ออกมาอย่างชัดเจน:

  • 18 ใน 21 สายพันธุ์ที่มีฟีเจอร์ขโมยข้อมูล สามารถขโมยรหัสผ่านและ/หรือ คีย์ที่ใช้โดย OpenSSH Client และเซิร์ฟเวอร์ที่ถูกโทรจันฝังตัว
  • 17 ใน 21 สายพันธุ์ที่มีโหมด backdoor สามารถหลบหนีการตรวจจับและฝังตัวอยู่ในอุปกรณ์

การตรวจจับและการลดทอนความเสี่ยง

จากการวิเคราะห์ตัวอย่างมัลแวร์ มักยากที่จะระบุปัจจัยการเข้าถึง อย่าง ประเภทขโมยข้อมูล อาจใช้วิธี Brute Force รหัสผ่าน หรือเจาะช่องโหว่ของเซิร์ฟเวอร์ ซึ่งสามารถป้องกันได้เพียง:

  • อัพเดตระบบให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ
  • ใช้งาน Key-based authentication สำหรับ SSH
  • ปิดการใช้งาน Remote root login
  • ใช้โซลูชั่นยืนยันตัวตน Multi-factor authentication สำหรับ SSH

ผลิตภัณฑ์ของ ESET สามารถตรวจจับและวิเคราะห์ backdoor OpenSSH ได้ในชื่อ Linux/SSHDoor และด้วย YARA ruleset ที่เราใช้งานก็วสามารถช่วยแยกตัวอย่างที่มีความเป็นไปได้ว่าจะเป็นมัลแวร์

Author: Marc-Etienne M.Léveillé
Source:
https://www.welivesecurity.com/2018/12/05/dark-side-of-the-forsshe/
Translated by: Worapon H.

%d bloggers like this: