Το Κέντρο Πληροφόρησης Ασφάλειας της AhnLab (ASEC) αποκάλυψε μια νέα παραλλαγή κακόβουλου λογισμικού (malware) DDoS, με την ονομασία cShell, η οποία στοχεύει ανεπαρκώς προστατευμένους Linux SSH διακομιστές, αξιοποιώντας εργαλεία όπως τα screen και hping3.
Τι είναι το cShell και πώς λειτουργεί
Το cShell εκμεταλλεύεται αδύναμα SSH διαπιστευτήρια και χρησιμοποιεί ενσωματωμένα εργαλεία του Linux για να εξαπολύσει εξελιγμένες DDoS επιθέσεις. Αυτή η απειλή αναδεικνύει τους αυξανόμενους κινδύνους που προκύπτουν από την κακή διαχείριση και ασφάλεια συστημάτων.
Δείτε επίσης: Νέα τεχνική malware εκμεταλλεύεται το UIA των Windows
Αρχική πρόσβαση και μόλυνση
Η ανάλυση από honeypots της ASEC έδειξε ότι οι επιτιθέμενοι σαρώνουν δημόσια εκτεθειμένες SSH υπηρεσίες και χρησιμοποιούν τεχνικές brute force για να αποκτήσουν πρόσβαση. Μόλις αποκτήσουν πρόσβαση, εγκαθιστούν εργαλεία όπως το curl και μια παραλλαγή κακόβουλου λογισμικού, γνωστή ως cARM.
Νέα εικόνα: Πώς ο Κρόνος κρύφτηκε πίσω από το φεγγάρι!
Βόρεια Κορέα: Κλάπηκαν crypto αξίας $ 659 εκατ. το 2024
Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή;
Η διαδικασία εγκατάστασης προσαρμόζεται στη διανομή Linux, χρησιμοποιώντας πακέτα όπως apt, yum ή apk. Ένα ενδιαφέρον εύρημα είναι ότι τα μηνύματα σφάλματος κατά την εγκατάσταση είναι γραμμένα στα Γερμανικά, κάτι που μπορεί να υποδεικνύει την προέλευση ή τις επιχειρησιακές ρίζες των επιτιθέμενων.
Το κακόβουλο λογισμικό εγκαθίσταται στον κατάλογο `/etc/de/cARM`, ενώ ένα αρχείο ρυθμίσεων με την ονομασία `sshell.service` το καταχωρεί ως μόνιμη υπηρεσία μέσω της εντολής `systemctl`. Αυτό του επιτρέπει να παραμένει ενεργό ακόμα και μετά από επανεκκινήσεις του συστήματος.
Διαβάστε περισσότερα: Το νέο Pumakit malware επηρεάζει συστήματα Linux
Χρήση εργαλείων του Linux για επιθέσεις
Το cShell ξεχωρίζει από τα παραδοσιακά bots DDoS, καθώς αξιοποιεί υπάρχοντα εργαλεία του Linux για τις επιθέσεις του.
- Screen: Ένα εργαλείο για τη διαχείριση πολλαπλών τερματικών συνεδριών, το οποίο επιτρέπει την εκτέλεση εντολών στο παρασκήνιο, ακόμα και αν το τερματικό κλείσει. Το cShell χρησιμοποιεί το screen για να εκτελεί εντολές με όνομα συνεδρίας “concurrent.”
- Hping3: Ένα εργαλείο δημιουργίας και ανάλυσης πακέτων δικτύου. Το cShell αξιοποιεί την ικανότητα του hping3 να στέλνει TCP, UDP και ICMP πακέτα, ξεκινώντας επιθέσεις τύπου SYN floods, ACK floods και UDP floods.
Δείτε ακόμη: WarmCookie malware: Μολύνει χρήστες μέσω malvertising / malspam καμπανιών
Οι επιθέσεις αυτές υπερφορτώνουν τους στόχους με τεράστιους όγκους δεδομένων, προκαλώντας διακοπή λειτουργίας. Οι έρευνες της ASEC έδειξαν ότι το cShell διαθέτει έξι ενσωματωμένες εντολές DDoS. Κατασκευασμένο στη γλώσσα προγραμματισμού Go, διαθέτει και λειτουργία αυτόματης ενημέρωσης.
Υποστήριξη και ενημερώσεις
Το cShell επικοινωνεί με έναν διακομιστή εντολών και ελέγχου (C&C) για να λαμβάνει οδηγίες. Κατά την ενημέρωση, συνδέεται με URLs του Pastebin για να κατεβάσει τις τελευταίες εκδόσεις του μέσω του curl. Αυτή η πλεονάζουσα αρχιτεκτονική διασφαλίζει ότι το κακόβουλο λογισμικό θα συνεχίσει να λειτουργεί, ακόμα και αν κάποιοι C&C διακομιστές απενεργοποιηθούν.
Διαβάστε περισσότερα: Βορειοκορεάτες χάκερ χρησιμοποιούν το νέο VeilShell Backdoor
Η ανακάλυψη του cShell υπογραμμίζει τη σημασία της σωστής διαχείρισης και ασφάλειας των SSH διακομιστών, ειδικά καθώς οι επιθέσεις DDoS συνεχίζουν να εξελίσσονται και να γίνονται πιο εξελιγμένες.
Πηγή: cybersecuritynews