SSH-aanvallers installeren rootkit op Linux-systemen
Het Amerikaanse Computer Emergency Readiness Team (CERT) waarschuwt voor "actieve aanvallen" tegen Linux-systemen. Door middel van gestolen SSH-keys weten de aanvallers toegang tot de systemen te krijgen, die daarna via local kernel exploits hun rechten verhogen. Hebben ze root-toegang, dan installeren ze de phalanx2 rootkit, die SSH-keys steelt. De gestolen keys stuurt de rootkit naar de aanvallers, waarmee ze andere sites en systemen aanvallen. Phalanx2 zou een verbeterde versie van de oudere phalanx rootkit zijn.
Phalanx is een kernel rootkit die uit 2005 stamt en voor de Linux 2.6 branch ontwikkeld is. De malware laat aanvallers bestanden, processen en sockets verbergen en bevat een tty sniffer, een tty connectback-backdoor en een "auto injection on boot".
Phalanx2 is op de volgende manieren te detecteren:
- "ls" laat geen directory "/etc/khubd.p2/" zien, maar is te benaderen via "cd /etc/khubd.p2".
- "/dev/shm/" kan bestanden van de aanval bevatten.
- De directory "khubd.p2" is niet via "ls" op te vragen, maar is wel te benaderen via "cd".
Het US-Cert benadrukt dat de aanpassingen die de rootkit in de configuratie doorvoert er voor kunnen zorgen dat bovenstaande aanwijzingen niet opgaan. Een andere manier om de rootkit te vinden is te zoeken naar verborgen processen en de uitkomst van /etc te vergelijken met het aantal directories dat ls laat zien.
Om het risico van een aanval te beperken adviseert de Amerikaanse waarschuwingsdienst om "proactief" systemen te identificeren waar SSH-keys onderdeel van een geautomatiseerd systeem zijn. Die hebben vaak geen passphrase of wachtwoord. Het gebruik van passphrases is dan ook het tweede punt dat US-Cert aanraadt. Als laatste is het verstandig om de toegang te controleren en ervoor te zorgen het systeem volledig gepatcht is.
Mocht het systeem toch zijn gehackt, dan moet de beheerder authenticatie via SSH-keys uitschakelen, een audit van alle SSH-keys op het systeem laten uitvoeren en alle eigenaren van een key inlichten dat die mogelijk gecompromitteerd is. Veel details over de aanval zijn nog onbekend, maar experts denken dat het Debian random number generator lek er iets mee te maken heeft.
Reacties (23)
27-08-2008, 12:13 door
Kahits
Phalanx2 is op de volgende manieren te detecteren:
* "ls" laat geen directory "/etc/khubd.p2/" zien, maar is te benaderen via "cd /etc/khubd.p2".
* De directory "khubd.p2" is niet via "ls" op te vragen, maar is wel te benaderen via "cd".
* "ls" laat geen directory "/etc/khubd.p2/" zien, maar is te benaderen via "cd /etc/khubd.p2".
* De directory "khubd.p2" is niet via "ls" op te vragen, maar is wel te benaderen via "cd".
:)
Een andere manier om de rootkit te vinden is te zoeken naar verborgen processen en de uitkomst van /etc te vergelijken met het aantal directories dat ls laat zien.
?
...Veel details over de aanval zijn nog onbekend....
Dat blijkt wel
27-08-2008, 13:26 door
spatieman
Door Anoniemhoe komen ze aan de eerste gestolen keys?
goede vraag.
bruteforce ,of te simpel wachtwoord..
27-08-2008, 13:35 door
SirDice
Door spatieman
goede vraag.
bruteforce ,of te simpel wachtwoord..
Keys zijn niet op deze wijze te verkrijgen....Door Anoniemhoe komen ze aan de eerste gestolen keys?
goede vraag.
bruteforce ,of te simpel wachtwoord..
Hebben ze root-toegang, dan installeren ze de phalanx2 rootkit, die SSH-keys steelt.
En de eerste keys?
Veel details over de aanval zijn nog onbekend, maar experts denken dat het Debian random number generator lek er iets mee te maken heeft.
27-08-2008, 14:02 door
Eerde
In het originele stuk staan nog een aantal blunders.
Het komt er op neer dat alles:
Verder;
Humor.
Het komt er op neer dat alles:
"appear", "potentially", "most likely", "if....", "may"
Etc. etc. is.Verder;
Linux systems with compromised SSH keys.
...gain root access by exploiting weaknesses in the kernel.
Debian fixed the flaw in May.
...if both the private and public parts of the key are included.
Dus ongepatchte kernels 2.6.x (sinds 2005) en systemen waarvan de SSH keys gestolen zijn, die die nog steeds de Debian 'random number' vout bevatten en dan ook nog 'private' en 'public' delen in de key hebben....gain root access by exploiting weaknesses in the kernel.
Debian fixed the flaw in May.
...if both the private and public parts of the key are included.
Humor.
27-08-2008, 16:00 door
SirDice
Door Eerde
Verder;
Dat staat er niet. De exploits kunnen best recent zijn daar wordt niets over vermeld. De rootkit is voor 2.6.x kernels (volgens kernel.org is de huidige versie dat ook.. 2.6.26). Om een rootkit te installeren heb je geen exploits nodig (alleen root access; die men dus daarvoor met local exploits heeft verkregen). En elke ssh key bevat een public en private deel. Iemand die dus ergens een private deel heeft weten te bemachtigen kan overal inloggen waar het public gedeelte in de authorized_keys staat. Iemand die root toegang heeft tot een machine kan met een simpele find opdracht die sleutels vinden.Verder;
Linux systems with compromised SSH keys.
...gain root access by exploiting weaknesses in the kernel.
Debian fixed the flaw in May.
...if both the private and public parts of the key are included.
Dus ongepatchte kernels 2.6.x (sinds 2005) en systemen waarvan de SSH keys gestolen zijn, die die nog steeds de Debian 'random number' vout bevatten en dan ook nog 'private' en 'public' delen in de key hebben....gain root access by exploiting weaknesses in the kernel.
Debian fixed the flaw in May.
...if both the private and public parts of the key are included.
Humor.
Inderdaad.
27-08-2008, 16:53 door
Eerde
SirFUD
Ik heb het over het originele stuk/artikel.
De kernel versies blijven uiteraard 2.6 totdat het 2.7 wordt ! Hetgeen niets zegt over welke versie waarvoor reeds gepatcht is !
Die exploits voor root access gaan ook in je FUD stukje over reeds eerder gecompromiteerde machines en dat is ook meteen het zwakke van het verhaal.
Verder moet je dit even lezen: http://www.togaware.com/linux/survivor/Public_Private.html
Ik heb het over het originele stuk/artikel.
De kernel versies blijven uiteraard 2.6 totdat het 2.7 wordt ! Hetgeen niets zegt over welke versie waarvoor reeds gepatcht is !
Die exploits voor root access gaan ook in je FUD stukje over reeds eerder gecompromiteerde machines en dat is ook meteen het zwakke van het verhaal.
Even if these new keys aren't vulnerable to the Debian debacle, attackers can potentially use them to access the servers that use them if both the private and public parts of the key are included.
Let op het woord "if" in het stuk.Verder moet je dit even lezen: http://www.togaware.com/linux/survivor/Public_Private.html
A passphrase will be asked for to encrypt your private key within your file system (otherwise the root user, for example, could obtain your private key).
Now, when you connect to the remote host using ssh your public key on that host will be used to send an encrypted message (a random number in fact) back to your local host. The local host decrypts the message using the private key stored only on the local host and decrypted using the passphrase. The decrypted message is returned to the remote host for verification.
This method, using public keys, does not send passwords (or passphrases) over the network. A passphrase is used on the local host only to unlock the local private key.
Now, when you connect to the remote host using ssh your public key on that host will be used to send an encrypted message (a random number in fact) back to your local host. The local host decrypts the message using the private key stored only on the local host and decrypted using the passphrase. The decrypted message is returned to the remote host for verification.
This method, using public keys, does not send passwords (or passphrases) over the network. A passphrase is used on the local host only to unlock the local private key.
27-08-2008, 17:07 door
SirDice
Door Eerde
Ik heb het over het originele stuk/artikel.
Ik ook.Ik heb het over het originele stuk/artikel.
De kernel versies blijven uiteraard 2.6 totdat het 2.7 wordt !
Inderdaad. En dus werkt die rootkit uit 2005 nog steeds aangezien deze is gemaakt voor 2.6 kernels.Hetgeen niets zegt over welke versie waarvoor reeds gepatcht is !
Precies, waardoor jouw analyse onderuit gaat.Dus ongepatchte kernels 2.6.x (sinds 2005) ..
Overigens is 2.6.0 uit december 2003. Maar iemand met een 2.6.26 kernel kan ook vatbaar zijn. Local exploits worden meestal niet gezien als "ernstig" waardoor men wellicht nog even wacht met patchen? (bedenk dat de machine herstart moet worden na een kernel update)Die exploits voor root access gaan ook in je FUD stukje over reeds eerder gecompromiteerde machines en dat is ook meteen het zwakke van het verhaal.
Nee, men heeft toegang gekregen middels SSH. Op dat moment heeft men toegang tot het systeem en kan er een local exploit worden uitgevoerd. Zo krijg je root. Eenmaal die root access wordt de rootkit geinstalleerd. De rootkit verzamelt ssh keys zodat daarmee weer andere systemen aangevallen kunnen worden.Een ssh private key kan worden voorzien van een passphase maar hoeft niet. Een private key zonder wachtwoord komt vaker voor dan jij denkt. Die private key staat gewoon ergens op de machine en root kan daar gewoon bij. Het argument in het stukje dat je quote is juist dat root er bij kan en je je private key dus moet beschermen met een passphrase. Een passphrase is niet altijd even handig, denk bijvoorbeeld eens aan een geautomatiseerd proces, rsync over ssh om maar even wat te noemen.
Je kan lullen als brugman, alleen jammer dat je kant nog wal raakt.
27-08-2008, 17:11 door
Eerde
SirFUD
Je leest niet niet goed ! Omdat je niet wil of kan, blijft mij om het even.
En blijft daardoor dingen beweren die niet waar zijn, het artikel en ik niet gesteld hebben etc.
Je doet je naam weer eens eer aan...
Je leest niet niet goed ! Omdat je niet wil of kan, blijft mij om het even.
En blijft daardoor dingen beweren die niet waar zijn, het artikel en ik niet gesteld hebben etc.
Je doet je naam weer eens eer aan...
27-08-2008, 17:29 door
SirDice
Door EerdeSirFUD
FOADJe leest niet niet goed ! Omdat je niet wil of kan, blijft mij om het even.
En blijft daardoor dingen beweren die niet waar zijn, het artikel en ik niet gesteld hebben etc.
Je doet je naam weer eens eer aan...
Volgens mij ben jij toch diegene hier die niet kan lezen. Want waar beweer ik dingen die niet waar zijn?En blijft daardoor dingen beweren die niet waar zijn, het artikel en ik niet gesteld hebben etc.
Je doet je naam weer eens eer aan...
Jij lijkt maar niet te beseffen dat die rootkit en die local exploits 2 verschillende dingen zijn die niets met elkaar te maken hebben (behalve dan dat ze allebei gebruikt zijn bij deze aanval).
En om nog even verder te borduren op die Debian key ellende. Je kan wel leuk die patch geinstalleerd hebben maar als je je keys niet opnieuw gegenereerd hebt ben je nog steeds vatbaar. De fout zat namelijk in het generatie proces.
27-08-2008, 17:32 door
Eerde
SirFUD.... continu !
27-08-2008, 17:40 door
SirDice
http://www2.packetstormsecurity.org/cgi-bin/search/search.cgi?searchvalue=phalanx
Doe er je voordeel mee.
Doe er je voordeel mee.
Door EerdeSirFUD.... continu !
Hmm.. Je kan zeker niet vinden waar ik iets gezegd heb wat niet waar is?
27-08-2008, 18:00 door
Eerde
Continu.... zoals ik al schreef. Lezen is nog steeds niet je sterkste kant. Begrijpend lezen ook al niet, onzin schrijven echter wel en FUD verspreiden zekers.
Waarvan akte.
Waarvan akte.
27-08-2008, 18:05 door
SirDice
Ik zie anders nog steeds geen "bewijs" dat ik iets gezegd heb wat niet waar is Eerde....
27-08-2008, 18:06 door
Eerde
Ik zie dat je ook al je reacties achteraf aanpast.... hahaha.
neem een domme uitspraak als:
Nog dommer:
Grappig & humoristisch in kinderlijke zin.
neem een domme uitspraak als:
Jij lijkt maar niet te beseffen dat die rootkit en die local exploits 2 verschillende dingen zijn die niets met elkaar te maken hebben (behalve dan dat ze allebei gebruikt zijn bij deze aanval)
Niets met elkaar te maken ;)Nog dommer:
En om nog even verder te borduren op die Debian key ellende. Je kan wel leuk die patch geinstalleerd hebben maar als je je keys niet opnieuw gegenereerd hebt ben je nog steeds vatbaar. De fout zat namelijk in het generatie proces.
Ja, ja je patcht een probleem maar laat de achterdeur uit het verleden open staan...Grappig & humoristisch in kinderlijke zin.
27-08-2008, 18:09 door
Eerde
Door SirDiceIk zie anders nog steeds geen "bewijs" dat ik iets gezegd heb wat niet waar is Eerde....
Zoals ik al diverse keren schrijf: "Je leest niet" !!Laatste keer SirFUD
27-08-2008, 18:15 door
SirDice
Door EerdeIk zie dat je ook al je reacties achteraf aanpast.... hahaha.
Alleen daar waar nog niet op gereageerd is.neem een domme uitspraak als:
Misschien moet je even die link bekijken?Jij lijkt maar niet te beseffen dat die rootkit en die local exploits 2 verschillende dingen zijn die niets met elkaar te maken hebben (behalve dan dat ze allebei gebruikt zijn bij deze aanval)
Niets met elkaar te maken ;)Nog dommer:
Ja, ja je patcht een probleem maar laat de achterdeur uit het verleden open staan...
Grappig & humoristisch in kinderlijke zin.
En om nog even verder te borduren op die Debian key ellende. Je kan wel leuk die patch geinstalleerd hebben maar als je je keys niet opnieuw gegenereerd hebt ben je nog steeds vatbaar. De fout zat namelijk in het generatie proces.
Ja, ja je patcht een probleem maar laat de achterdeur uit het verleden open staan...
Grappig & humoristisch in kinderlijke zin.
It is strongly recommended that all cryptographic key material which has
been generated by OpenSSL versions starting with 0.9.8c-1 on Debian
systems is recreated from scratch. Furthermore, all DSA keys ever used
on affected Debian systems for signing or authentication purposes should
be considered compromised; the Digital Signature Algorithm relies on a
secret random value used during signature generation.
We recommend that you upgrade your openssl package and subsequently
regenerate any cryptographic material, as outlined above.
regenerate any cryptographic material, as outlined above.
http://lists.debian.org/debian-security-announce/2008/msg00152.html
27-08-2008, 19:58 door
DNA
Met dit soort discussies haken de linux (huis tuin en keuken gebruikers) dus af. Linux is veiliger dan Win zeggen ze. Open source dat is het. Dus ik dacht laat ik het ook eens proberen. Dus aan de Ubuntu dan maar ;-)
Waarom kan er niet gewoon in het Nederlands (Begrijpelijke taal) gezegd worden wat er nu precies aan de hand is, en wat een leek als ik er aan kan doen, of misschien dat ik mij niet eens zorgen hoef te maken. En nu niet roepen als je geen engels wilt gaan lezen dan zou ik maar weer snel win gaan gebruiken. Engels lezen is geen probleem een. Maar ik haak af bij het security gedeelte.
En wat zijn SSH-keys. Zit zoiets standaard in elke distro? Ik gebruik overigens Ubuntu die ik elke keer netjes update als daar om gevraagd wordt.
D.
Waarom kan er niet gewoon in het Nederlands (Begrijpelijke taal) gezegd worden wat er nu precies aan de hand is, en wat een leek als ik er aan kan doen, of misschien dat ik mij niet eens zorgen hoef te maken. En nu niet roepen als je geen engels wilt gaan lezen dan zou ik maar weer snel win gaan gebruiken. Engels lezen is geen probleem een. Maar ik haak af bij het security gedeelte.
En wat zijn SSH-keys. Zit zoiets standaard in elke distro? Ik gebruik overigens Ubuntu die ik elke keer netjes update als daar om gevraagd wordt.
D.
Door DNAMet dit soort discussies haken de linux (huis tuin en keuken gebruikers) dus af. Linux is veiliger dan Win zeggen ze. Open source dat is het. Dus ik dacht laat ik het ook eens proberen. Dus aan de Ubuntu dan maar ;-)
...
Waarom kan er niet gewoon in het Nederlands (Begrijpelijke taal) gezegd worden wat er nu precies aan de hand is, en wat een leek als ik er aan kan doen, of misschien dat ik mij niet eens zorgen hoef te maken.
En wat zijn SSH-keys. Zit zoiets standaard in elke distro? Ik gebruik overigens Ubuntu die ik elke keer netjes update als daar om gevraagd wordt.
D.
...
Waarom kan er niet gewoon in het Nederlands (Begrijpelijke taal) gezegd worden wat er nu precies aan de hand is, en wat een leek als ik er aan kan doen, of misschien dat ik mij niet eens zorgen hoef te maken.
En wat zijn SSH-keys. Zit zoiets standaard in elke distro? Ik gebruik overigens Ubuntu die ik elke keer netjes update als daar om gevraagd wordt.
D.
Als je ubuntu gebruikt en altijd update zit je al redelijk goed. daar bovenop komt: Je vind jezelf nu een leek, maar met zo'n instelling blijf je een leek, gewoon blijven leren dan komt het wel goed. Iedereen kan linux gebruiken, je moet gewoon even wat tijd er in steken. Je weet hoe 'alles' werkt, dat is veel informatie, daartegenover staat dat je met al die informatie over hoe 'alles' werkt, ook 'alles' kan.
Snap je ;)
Door DNA
Eerde is goed in het discussieren zonder argumenten, negeer maar gewoon alles wat hij zegt.
SirDice daarentegen, die het overigens niet altijd goed heeft, maar vaak wel, geeft wel nuttige informatie en valide argumenten.
SSH keys zijn sleutels die gebruikt kunnen worden om op afstand toegang te krijgen tot een computer. Er zat een fout in de Debian Linux distributie, waardoor de gegenereerde sleutels niet voldoende bescherming bieden. Het is daardoor mogelijk, ook nadat Debian is gepatcht, in te breken op een server waar deze sleutels worden gebruikt.
Overigens als je geen Engels wilt lezen kun je een paar dingen doen:
* ga naar Duitse sites
* ga naar Nederlandstalige sites en vraag daar of ze je willen helpen. Niet verbaasd zijn als ze kwaad worden dat je hen als vertaalmachine gebruikt.
* leer toch maar Engels.
Dat gezegd hebbende is het waarschijnlijk zo dat je geen SSH nodig hebt op een home computer tenzij je er van afstand toegang toe wilt.
Onthoudt: veiligheid is niet zozeer afhankelijk van het besturingssysteem als wel van de persoon die ermee werkt.
28-08-2008, 09:53 door
SirDice
Door Anoniem
Klopt. Ik ben ook maar een mens en zit er ook wel eens naast. Maar ik ben niet te beroerd om dat toe te geven.Door DNA
SirDice daarentegen, die het overigens niet altijd goed heeft, maar vaak wel, geeft wel nuttige informatie en valide argumenten. SSH keys zijn sleutels die gebruikt kunnen worden om op afstand toegang te krijgen tot een computer. Er zat een fout in de Debian Linux distributie, waardoor de gegenereerde sleutels niet voldoende bescherming bieden. Het is daardoor mogelijk, ook nadat Debian is gepatcht, in te breken op een server waar deze sleutels worden gebruikt.
Vergeet niet dat Ubuntu eigenlijk ook Debian is.All OpenSSH and X.509 keys generated on such systems must be considered untrustworthy, regardless of the system on which they are used, even after the update has been applied.
Bron: http://www.ubuntu.com/usn/usn-612-1Nadat je dat package hebt geupdate zul je nog wat (handmatige) handelingen moeten verrichten. Ik durf m'n handen in het vuur te steken door te stellen dat het gros van de Ubuntu gebruikers dat niet heeft gedaan.
Overigens als je geen Engels wilt lezen kun je een paar dingen doen:
Engels is de aard van het beestje, termen horen daarbij. Doktoren spreken onder elkaar ook over zaken waar ik niets van begrijp. Dat heet vakjargon. Ik kan best iets schrijven zonder vakjargon maar dan is het a) niet duidelijk waar ik het over heb b) meer werk, ipv 1 term te noemen moet ik een heel verhaal houden.Maar mochten er specifieke zaken niet duidelijk zijn wil ik ze best toelichten ;)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
