Χάκερ έχουν μολύνει διακομιστές SSH Linux με το κακόβουλο λογισμικό Tsunami botnet.
Ένας άγνωστος απειλητικός παράγοντας κάνει brute-forcing στους διακομιστές Linux SSH για να εγκαταστήσει ένα ευρύ φάσμα malware, συμπεριλαμβανομένου του Tsunami DDoS (distributed denial of service) bot, του ShellBot, των log cleaners, των εργαλείων κλιμάκωσης προνομίων και ενός coin miner XMRig (Monero).
Δείτε επίσης: Πανεπιστήμιο Manchester: Οι χάκερς απειλούν με διαρροή δεδομένων
Το SSH (Secure Shell Socket) είναι ένα κρυπτογραφημένο πρωτόκολλο δικτυακής επικοινωνίας για σύνδεση σε απομακρυσμένα μηχανήματα, που υποστηρίζει tunneling, προώθηση θύρας TCP, μεταφορά αρχείων κ.λπ.
Οι διαχειριστές δικτύων χρησιμοποιούν συνήθως το SSH για την απομακρυσμένη διαχείριση συσκευών Linux, εκτελώντας εργασίες όπως η εκτέλεση εντολών, η αλλαγή ρυθμίσεων, η ενημέρωση λογισμικού και η αντιμετώπιση προβλημάτων.
Ωστόσο, εάν οι εν λόγω servers είναι ανεπαρκώς ασφαλισμένοι, ενδέχεται να είναι ευάλωτοι σε επιθέσεις brute-force, επιτρέποντας στους απειλητικούς φορείς να δοκιμάσουν πολλούς πιθανούς συνδυασμούς ονόματος χρήστη-συνθηματικού μέχρι να βρεθεί ένας συνδυασμός.
Δείτε επίσης: Elon Mode: Ανακαλύπτεται από Tesla hacker για Full Self-Driving χωρίς χέρια
Tsunami στον SSH server
Το Κέντρο Αντιμετώπισης Εκτάκτων Αναγκών Ασφαλείας (ASEC) της AhnLab ανακάλυψε πρόσφατα μια εκστρατεία αυτού του τύπου, η οποία είχε παραβιάσει διακομιστές Linux για να εξαπολύσει επιθέσεις DDoS και να εξορύξει το κρυπτονόμισμα Monero.
Οι επιτιθέμενοι σάρωσαν το Διαδίκτυο για δημόσια εκτεθειμένους διακομιστές Linux SSH και στη συνέχεια προσπάθησαν να κάνουν brute-force στα ζεύγη ονόματος χρήστη-συνθηματικού για να συνδεθούν στον διακομιστή.
Μόλις εδραιώθηκαν στο τελικό σημείο ως χρήστης διαχειριστής, έτρεξαν την ακόλουθη εντολή για να αντλήσουν και να εκτελέσουν μια συλλογή κακόβουλου λογισμικού μέσω ενός Bash script.
Η ASE παρατήρησε ότι οι εισβολείς είχαν επίσης δημιουργήσει ένα νέο ζεύγος δημόσιων και ιδιωτικών κλειδιών SSH για τον παραβιασμένο διακομιστή, προκειμένου να διατηρήσουν την πρόσβαση ακόμη και αν ο κωδικός πρόσβασης του χρήστη άλλαζε.
Το κακόβουλο λογισμικό που μεταφορτώνεται σε μολυσμένους υπολογιστές περιλαμβάνει botnets DDoS, log cleaners, cryptocurrency miners και εργαλεία αύξησης προνομίων.
Ξεκινώντας με το ShellBot, αυτό το bot DDoS που βασίζεται σε Perl χρησιμοποιεί το πρωτόκολλο IRC για επικοινωνίες. Υποστηρίζει σάρωση θυρών, επιθέσεις HTTP flood, TCP και HTTP και μπορεί επίσης να δημιουργήσει ένα reverse shell.
Το άλλο DDoS botnet malware που εμφανίζεται σε αυτές τις επιθέσεις είναι το Tsunami, το οποίο χρησιμοποιεί και το πρωτόκολλο IRC για επικοινωνία.
Η συγκεκριμένη έκδοση που βλέπει η ASEC είναι η “Ziggy”, μια παραλλαγή της Kaiten. Το Tsunami επιμένει μεταξύ των επανεκκινήσεων γράφοντας στο “/etc/rc.local” και χρησιμοποιεί τυπικά ονόματα διεργασιών συστήματος για απόκρυψη.
Εκτός από τα SYN, ACK, UDP και τυχαίες επιθέσεις flood DDoS, το Tsunami υποστηρίζει και ένα εκτεταμένο σύνολο εντολών απομακρυσμένου ελέγχου, συμπεριλαμβανομένης της εκτέλεσης εντολών κελύφους, reverse shells, της συλλογής πληροφοριών συστήματος, της ενημέρωσης του εαυτού του και της λήψης πρόσθετων ωφέλιμων φορτίων από εξωτερική πηγή.
Ακολουθούν το MIG Logcleaner v2.0 και το Shadow Log Cleaner. Και τα δύο εργαλεία χρησιμοποιούνται για την εξάλειψη των αποδεικτικών στοιχείων της εισβολής σε μολυσμένους υπολογιστές, καθιστώντας λιγότερο πιθανό για τα θύματα να αντιληφθούν γρήγορα τη μόλυνση.
Αυτά τα εργαλεία υποστηρίζουν συγκεκριμένα ορίσματα γραμμής εντολών που επιτρέπουν στους χειριστές να διαγράφουν, να τροποποιούν ή να προσθέτουν νέα αρχεία καταγραφής στο σύστημα.
Το κακόβουλο λογισμικό που χρησιμοποιείται σε αυτές τις επιθέσεις για την επίτευξη κλιμάκωσης προνομίων είναι ένα αρχείο ELF (Executable and Linkable Format), το οποίο αυξάνει τα προνόμια του επιτιθέμενου σε αυτά ενός χρήστη root.
Τέλος, οι απειλητικοί φορείς ενεργοποιούν έναν XMRig coin miner για να καταλάβουν τους υπολογιστικούς πόρους του διακομιστή, εξορύσσοντας Monero σε μια καθορισμένη δεξαμενή.
Για να αμυνθούν ενάντια σε αυτές τις επιθέσεις, οι χρήστες Linux θα πρέπει να χρησιμοποιούν ισχυρούς κωδικούς πρόσβασης λογαριασμού ή, για ακόμη μεγαλύτερη ασφάλεια, να απαιτούν κλειδιά SSH για τη σύνδεση στον διακομιστή SSH.
Επιπλέον, απενεργοποιήστε τη σύνδεση root μέσω SSH, περιορίστε το εύρος των διευθύνσεων IP που επιτρέπεται να έχουν πρόσβαση στο διακομιστή και αλλάξτε την προεπιλεγμένη θύρα SSH σε κάτι άτυπο που θα χάσουν τα αυτοματοποιημένα bots και τα infection scripts.
Πηγή πληροφοριών: bleepingcomputer.com
