美國計算機安全緊急應變中心(US-CERT)在本周表示,發現黑客透過偷來的SSH(Secure Shell)金鑰針對Linux運算架構進行攻擊。
SSH為一遠程通訊及網絡服務專用的通訊協議,由於可加密所有傳輸的數據,並透過公鑰密碼存取,因此被視為較可靠的協議,亦為免費的開放源碼。此外,許多使用SSH金鑰登入的系統並不要求使用者再輸入密碼或密碼字符串(passphrase),而可自動登入。
不過,US-CERT指出,最近發現的攻擊一開始都是使用偷來的SSH金鑰以存取系統,之後再利用區域核心攻擊程序取得可執行及存取所有文件的root access系統權限,以便植入phalanx2程序。
phalanx2為一Rootkit程序,Rootkit是黑客專門用來在系統內藏匿惡意程序的技術,以讓phalanx2能夠有組織地竊取系統內的SSH金鑰,以用來攻擊其它的網站或系統。
SANS研究人員John Bambenek在Blog中說明,黑客可能是在幾個月前趁著Debian的系統漏洞取得部份金鑰,因此呼吁IT人員要盡快更新並置換相關的金鑰。
不論是US-CERT或Bambenek都建議IT管理人員要積極找出那些透過SSH金鑰自動存取的系統,特別是那些供遠程或網絡存取的系統,確保這些系統皆已采用最新的修補程序,並鼓勵使用者同時利用金鑰及密碼登入系統以降低風險。
US-CERT亦列出如何檢驗系統是否存有phalanx2程序的路徑
