注册
登录
| 关键词:OpenSSH, Velvet Ant, SSH, PAM, Sygnia, CI, Linux, 攻击者, 服务器, 程序 |
黑客组织在Linux登录系统内部隐藏了近十年,Sygnia将该组织命名为Velvet Ant,称他们对决定谁登录的PAM和OpenSSH组件进行了后门,将访问权限植入了普通清理无法到达的地方。  最早的痕迹可以追溯到2016年。攻击者没有投放新的恶意软件让扫描器可能被发现,而是直接更改了可信的登录程序。没有明显的异常,也不需要利用漏洞,所以活动看起来像是正常的管理。 在许多机器上,攻击者用带后门的复制品替换了主 PAM 登录模块。有些人用秘密密码让他们进来;还有人悄悄记录真实用户名和密码,等待用户登录。 研究人员发现了九个不同的版本。OpenSSH 程序也以同样的方式修改,记录凭证和输入的每条命令,并有一个隐藏开关在需要时关闭该登录。 要接触到隔离网络本身就需要额外努力。攻击者利用其他伪装工具和面向互联网的网络服务器作为桥梁,通过服务器传递命令,打开无法直接上网的段内远程会话。 由于登录系统本身已被攻破,正常的封锁措施几乎无济于事。密码重置和关闭会话对检查凭证的软件在攻击者工作时无济于事。 每当防守者找到一个立足点时,Velvet Ant就会转移到他们更少关注的装备上。在2024年的一起案例中,Sygnia 发现同一行为者将暴露在互联网中的 F5 BIG-IP 设备变成了内部命令服务器。 同年晚些时候,报告称该组织利用Cisco NX-OS漏洞CVE-2024-20399在交换机上植入后门。这个bug需要先获得管理员权限,所以它是持久化工具,不是远程入侵。思科于2024年7月修补了该问题,CISA第二天将其标记为被利用。 攻击者入侵后更改了可信程序,所以解决办法是验证而非补丁,清理也很微妙:错误的替换可能会将管理员锁在上线系统之外。 注意登录文件。监控PAM和OpenSSH程序及其密钥文件的任何变化,并在变化时及时提醒。 通过查看发生了什么变化来寻找,而不是等待警报。把这些程序和已知有效的副本对比,因为没有什么能让你标记它们。 重置密码前先移除后门,否则新密码也会被盗。先在实验室测试任何替换品。 技术报告: 《Velvet Ant 的 Highland行动:如何悄无声息地渗透内部网络》 https://www.sygnia.co/blog/operation-highland-velvet-ant/ |
| 本文出处: https://www.toutiao.com/article/7651390034637062691/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
