ESET 的研究人員發布了一份長達 43 頁的報告,分析了 Ebury rootkit 及其相關活動。他們聲稱 Ebury 自 2009 年以來一直在使用,並且已安裝在超過 400 萬台運行 Windows 系統的伺服器上。 Linux 還有數百個基於 FreeBSD、OpenBSD 和 Solaris 的系統。截至 2023 年底,約有 110 萬台伺服器仍感染了 Ebury 病毒。鑑於 Ebury 病毒曾被用於 kernel.org 攻擊,這項研究尤其引人關注,因為它揭示了內核開發基礎設施遭到入侵的一些新細節。 LinuxEbury於2011年被發現。此外,它還出現在網域註冊商伺服器、加密貨幣交易所、Tor出口節點以及其他一些地方。 主機提供者未提供姓名。
最初人們認為攻擊者 服務 kernel.org 的攻擊者在 17 天內未被發現,但根據 ESET 的說法,這段時間是從 Phalanx rootkit 被植入的那一刻開始計算的。 Ebury 後門自 2009 年起就存在於伺服器上,並可能被用於獲取 root 權限長達兩年之久。 Ebury 和 Phalanx 惡意軟體是由不同的攻擊組織分別在不同的攻擊中植入的。 Ebury 後門至少影響了 kernel.org 基礎設施中的四台伺服器,其中兩台在大約兩年後被攻破,另外兩台在六個月內被攻破。
攻擊者取得了儲存在/etc/shadow 中的551 個使用者的密碼雜湊值,其中包括所有核心維護者(這些帳戶用於存取Git;事件發生後更改了密碼,並修改了存取模型以使用數字簽名) )。對於 257 個用戶,攻擊者能夠確定明文密碼,大概是透過使用雜湊值猜測密碼以及攔截惡意 Ebury 元件在 SSH 中使用的密碼。
惡意元件 Ebury 作為共用庫進行分發,一旦安裝,就會攔截 OpenSSH 中使用的功能,以建立與具有 root 權限的系統的遠端連線。這次攻擊沒有針對性,與數千個受影響的其他主機一樣,kernel.org 伺服器被用作殭屍網路的一部分,用於發送垃圾郵件、竊取在其他系統上分發的憑證、重定向網路流量以及執行其他惡意活動。
為了滲透伺服器,使用了伺服器軟體中未修補的漏洞,例如託管面板中的漏洞或截獲的密碼(假設 kernel.org 伺服器因洩露其中一名用戶的密碼而被駭客入侵)外殼存取)。利用Dirty COW等漏洞進行提權。
近年來使用的 Ebury 新版本除了後門之外,還包括用於代理流量、重定向用戶和攔截機密資訊的 Apache httpd 模組、用於更改傳輸 HTTP 流量的核心模組、隱藏自己的工具等功能。的流量、用於進行AitM 攻擊(中間對手、雙向MiTM)以攔截託管提供者網路中的SSH 憑證的腳本。
來源: opennet.ru
