Les systèmes Linux sont toujours sous pression. Une dizaine de jours après l'alerte de Qualys portant sur la découverte de la faille « Ghost » relative à la librairie GNU C, c'est au tour du spécialiste en sécurité FireEye de tirer la sonnette d'alarme. Cette fois au sujet d'un malware conçu pour cibler les systèmes Linux, incluant les terminaux à base d'architecture ARM et utilisant un noyau rootkit sophistiqué qui présente une grande menace.
Connu sous l'appellation XOR.DDoS et découvert une première fois en septembre par des chercheurs de Malware Must Die, ce cheval de Troie a depuis évolué et de nouvelles versions se sont retrouvées dans la nature depuis le 20 janvier selon un rapport publié vendredi par FireEye qui a analysé en détail cette menace.
XOR.DDOS est installé sur des systèmes cibles via des attaques SSH par force de brute lancées principalement depuis des adresses IP émanant d'une société hong-kongaise appelée Hee Thai Limited. Ces attaques essaient de deviner le mot de passe de démarrage en usant de différentes techniques basées sur des dictionnaires et des listes de mots de passe issues de précédentes violations de données. FireEye a observé plus de 20 000 tentatives de login SSH par serveur visé en 24 heures et plus d'1 million par serveur entre mi-novembre 2014 et fin janvier 2015.
Lorsque les attaquants tentent de deviner le mot de passe de démarrage, ils envoient une commande SSH complexe à distance pouvant parfois atteindre plus de 6 000 caractères, qui se compose de plusieurs commandes shell séparées. Ces commandes téléchargent et exécutent différents scripts dans le cadre d'une chaîne d'infection sophistiquée s'appuyant sur un système de construction de malware à la demande. L'utilisation de commandes SSH distantes est significative car OpenSSH ne liste pas de telles commandes « même lorsque la connexion est configurée dans la plus verbeuse de ses configurations », ont indiqué les chercheurs de FireEye. « Comme une commande distante ne créé par de terminal session, les systèmes de connexion TTY ne retiennent pas non plus ces événements, pas plus que les dernières commandes de logs ».
Cette infrastructure à la demande de construction sophistiquée d'automatisation de création de rootkits LKM s'appuie sur différents noyaux et architectures, sachant que les architectures de chaque Loadable Kernel Modules (LKM) doivent être compilées pour le noyau particulier sur lesquel il est prévu de tourner. « Contrairement à Windows qui dispose d'une API noyau stable permettant de créer du code qui est portable entre différentes versions de noyaux, le noyau Linux ne dispose pas d'une telle API », expliquent les chercheurs de FireEye. « Comme les changements internes de noyau changent d'une version à une autre, un LKM doit être binairement compatible avec le noyau ».
Chiffrer les serveurs SSH et désactiver le démarrage de comptes à distance
L'objectif de ce rootkit est de cacher des processus, des fichiers, et des ports associés avec XOR.DDoS. « Contrairement à des attaques DDoS typiques de robots, XOR.DDoS est l'une des familles de malware les plus sophistiquées ciblant les OS Linux », a précisé FireEye. « Il est également multi-plateformes avec du code source C/C++ pouvant être compilé pour cibler x86, ARM et d'autres plateformes ». XOR.DDoS peut également télécharger et exécuter des fichiers binaires arbitraires lui donnant la capacité de se mettre tout seul à jour.
FireEye a identifié jusqu'à présent deux versions majeures de XOR.DDoS, le second ayant été repéré fin décembre. Le nombre de systèmes accessibles via SSH et utilisant des mots de passe faibles pouvant être vulnérables à des attaques par force brute complexe comme celles utilisées par les pirates derrière XOR.DDoS, pourrait être très élevé. Pour éviter d'être une cible trop facile, il faut absolument veiller à ce que les serveurs SSH soient configurés pour utiliser des clés de chiffrement au lieu de mots de passe pour l'authentification, et la connexion à distance pour démarrer des comptes devrait être désactivée, a précisé FireEye. « Particuliers et utilisateurs en PME peuvent installer l'utilitaire fail2ban qui fonctionne avec iptables pour détecter et bloquer les attaques par force brute ».
Le malware XOR.DDoS utilise la force brute pour contrôler les systèmes Linux
7
Réactions
L'éditeur de sécurité FireEye a identifié deux autres versions du malware XOR.DDoS découvert en septembre 2014. Faisant partie d'une famille de logiciels malveillants particulièrement sophistiqués, il a la particularité de cibler différents systèmes Linux sous architectures x86 et ARM.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Lorsque l'on mets en ligne un serveur administré à distance avec une authentification sur le port d'administration c'est à une attaque brute-force qu'il faut s attendre. Et même plusieurs.
Signaler un abusDonc fail2ban ou denyhost protègent l'authentification des tentatives multiples.. Et bien sure on a créé un utilisateur afin de se connecter avec sur le port d administration afin de pouvoir désactiver l'authentification en par l utilisateur root connu de tous.
Bien entendu le nom d'utilisateur utilisé ne doit pas être le nom du ou des services Fonctionnant sur le serveur.
Avec ces deux mesures de protections et une attention normale sur les logs, un attaquant n'à vraiment que peu de chances sinon aucune de passer l authentification par mot de passe. Donc elle reste un système de protection très fiables.
Quant a la commande de 6000 carractères, si l authentification n'a pas lieu, la commande ne sera pas pasée...
Cela ressemble effectivement à un placement de société pour concurrencer Qualys ...
Signaler un abusQue ressort il de l'article ? il faut mettre un mot de passe sur les login à la machine ...
Il faut installer un produit pour voir les attaques "force brute" bon ..
Fail2 ban check les logs et verifie le nombre de connexions SSh failed via ses log.
Signaler un abusNécessite de parametrer et de programmer avec la bonne maille.
Un email est envoyé afin de prévenir "propriétaire du serveur que quelqu'un tente d'entrer frauduleusement. CQFD
@Visiteur5475
Signaler un abusEffectivement cette phrase ne veut rien dire.
Je pense que l'auteur de l'article a voulu dire que ceci ne pouvait être exploité qu'avec un accès root eu serveur. Autrement dit le serveur ne peut être compromis que s'il offre un accès root avec un mot de passe faible sans protection contre les attaques par force brute. Bref beaucoup de bruit pour rien… si ce n'est faire de la pub à la socité citée.
Cela signifie qu'il s'agit d'un article particulièrement mal traduit ...
Signaler un abusSi les attaques SSH se font via des commandes qui font qu'elles ne sont pas loguées, comment fail2ban va-t-il voir quelque chose ?
Signaler un abus"la connexion à distance devrait être désactivée pour démarrer des comptes"
Signaler un abusQu’est ce que cela signifie concrètement?