- 13,858
- 20
- 8 Ноя 2022
Ваш SSH-сервер может стать участником массовых DDoS-атак и добычи криптовалюты.
Неизвестные злоумышленники атакуют плохо защищенные Linux -серверы с SSH и заставляют их участвовать в DDoS -атаках, а также добывать криптовалюту в фоновом режиме. Для этого хакеры используют ботнет Tsunami, также известный как Kaiten, который часто распространяется вместе с вредоносными программами Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся . Кампанию Для просмотра ссылки Войди или Зарегистрируйся специалисты AhnLab.
Ботнет Tsunami отличается от других ботнетов тем, что он функционирует как IRC-бот , то есть он использует IRC для общения со злоумышленником. Исходный код Tsunami является общедоступным, поэтому он используется множеством киберпреступников. Среди различных применений Tsunami, ботнет чаще всего используется в атаках против IoT-устройств, а также в атаках на Linux-серверы.
Атакующие проводят атаку по словарю, чтобы войти в Linux-серверы с SSH и установить на них:
Среди установленных вредоносных программ, файл «key» является Bash-скриптом, который загружает дополнительные вредоносные программы. Помимо того, что файл является загрузчиком, он также выполняет различные задачи для получения контроля над зараженными системами, включая установку SSH-аккаунта с бэкдором.
Оба бота Tsunami и ShellBot используют протокол IRC для передачи украденной информации на сервер управления и контроля (C2) и получения от сервера инструкций. Log Cleaner, вероятно, устанавливается для скрытия злонамеренной активности и затруднения будущих попыток расследования нарушения. XMRig устанавливается для добычи криптовалюты.
Предотвращение атаки
Предотвратить такой тип атаки несложно. Для этого администраторам следует:
В случае компрометации Linux-системы администраторам следует использовать индикаторы компрометации (IoC), которые предоставляют специалисты по безопасности, чтобы удалить вредоносные программы и злонамеренные скрипты из системы.
В обнаруженных атаках злоумышленники также создают SSH бэкдор-аккаунт, который служит как запасная мера для сохранения доступа к системе в случае, если администратор изменит пароль своего аккаунта. Аккаунт администратора также следует удалить. Наконец, блокировка трафика вредоносных программ к C2-серверам также имеет жизненно важное значение, чтобы предотвратить утечку данных и доставку команд.
Напомним, что после пандемии COVID-19 количество атак на IoT-устройства выросло на 700%. В течение 15-дневного периода эксперты выявили в общей сложности 18 тыс. уникальных хостов и около 900 уникальных передач полезной нагрузки. Чаще всего встречались Для просмотра ссылки Войдиили Зарегистрируйся — на них приходилось 97% процентов из 900 полезных нагрузок. Данные семейства позволяют своим операторам перехватывать контроль над устройствами для создания ботнетов. Наиболее часто подвергались атакам IoT-устройства в Ирландии (48%), США (32%) и Китае (14%).
Неизвестные злоумышленники атакуют плохо защищенные Linux -серверы с SSH и заставляют их участвовать в DDoS -атаках, а также добывать криптовалюту в фоновом режиме. Для этого хакеры используют ботнет Tsunami, также известный как Kaiten, который часто распространяется вместе с вредоносными программами Для просмотра ссылки Войди
Ботнет Tsunami отличается от других ботнетов тем, что он функционирует как IRC-бот , то есть он использует IRC для общения со злоумышленником. Исходный код Tsunami является общедоступным, поэтому он используется множеством киберпреступников. Среди различных применений Tsunami, ботнет чаще всего используется в атаках против IoT-устройств, а также в атаках на Linux-серверы.
Атакующие проводят атаку по словарю, чтобы войти в Linux-серверы с SSH и установить на них:
- DDoS-боты Tsunami и ShellBot;
- криптомайнер XMRig CoinMiner;
- инструмент для удаления и изменения журналов Log Cleaner.
Среди установленных вредоносных программ, файл «key» является Bash-скриптом, который загружает дополнительные вредоносные программы. Помимо того, что файл является загрузчиком, он также выполняет различные задачи для получения контроля над зараженными системами, включая установку SSH-аккаунта с бэкдором.
Оба бота Tsunami и ShellBot используют протокол IRC для передачи украденной информации на сервер управления и контроля (C2) и получения от сервера инструкций. Log Cleaner, вероятно, устанавливается для скрытия злонамеренной активности и затруднения будущих попыток расследования нарушения. XMRig устанавливается для добычи криптовалюты.
Предотвращение атаки
Предотвратить такой тип атаки несложно. Для этого администраторам следует:
- устанавливать сложные и уникальные пароли;
- включать двухфакторную аутентификацию на своем SSH-аккаунте;
- настраивать брандмауэры для блокировки злонамеренных попыток доступа и предотвращения несанкционированного входа в систему.
В случае компрометации Linux-системы администраторам следует использовать индикаторы компрометации (IoC), которые предоставляют специалисты по безопасности, чтобы удалить вредоносные программы и злонамеренные скрипты из системы.
В обнаруженных атаках злоумышленники также создают SSH бэкдор-аккаунт, который служит как запасная мера для сохранения доступа к системе в случае, если администратор изменит пароль своего аккаунта. Аккаунт администратора также следует удалить. Наконец, блокировка трафика вредоносных программ к C2-серверам также имеет жизненно важное значение, чтобы предотвратить утечку данных и доставку команд.
Напомним, что после пандемии COVID-19 количество атак на IoT-устройства выросло на 700%. В течение 15-дневного периода эксперты выявили в общей сложности 18 тыс. уникальных хостов и около 900 уникальных передач полезной нагрузки. Чаще всего встречались Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
