Forscher des koreanischen Anti-Malware-Unternehmens AhnLab sind Warnung über einen Old-School-Angriff, den sie ihrer Meinung nach heutzutage häufig sehen, bei dem Cyberkriminelle sich Zugang zu Linux-Shell-Servern verschaffen und diese als Ausgangspunkt für weitere Angriffe nutzen, oft gegen unschuldige Dritte.
Die von dieser Truppe aus ansonsten unbedarften Gaunern freigesetzten Ladungen könnten Sie nicht nur durch unerwartete Stromrechnungen Geld kosten, sondern auch Ihren Ruf schädigen, indem sie den Ermittlungsfingern nachgelagerter Opfer den Blick auf Sie und Ihr Netzwerk richten …
…so wie Sie, wenn Ihr Auto gestohlen und dann zur Begehung einer Straftat verwendet wird, mit einem Besuch der Polizei rechnen können, der Sie einlädt, Ihre offensichtliche Verbindung zu der Straftat zu erläutern.
(In einigen Gerichtsbarkeiten gibt es tatsächlich Straßenverkehrsgesetze, die es illegal machen, geparkte Autos unverschlossen zu lassen, um Autofahrer davon abzuhalten, es TWOC-Fahrern, Joyridern und anderen autozentrierten Kriminellen zu einfach zu machen.)
Nur dem Namen nach sicher
Diese Angreifer nutzen den nicht sehr geheimen und überhaupt nicht komplizierten Trick, Linux-Shell-Server zu finden, die SSH akzeptieren (Secure Shell) Verbindungen über das Internet herstellen und dann einfach gängige Kombinationen aus Benutzername und Passwort erraten, in der Hoffnung, dass mindestens ein Benutzer ein schlecht gesichertes Konto hat.
Gut gesicherte SSH-Server erlauben Benutzern natürlich nicht, sich nur mit Passwörtern anzumelden, normalerweise indem sie auf einer alternativen oder zusätzlichen Anmeldesicherheit bestehen, die auf kryptografischen Schlüsselpaaren oder 2FA-Codes basiert.
Aber Server, die in Eile eingerichtet oder in vorkonfigurierten „gebrauchsfertigen“ Containern gestartet oder als Teil eines größeren, komplexeren Setup-Skripts für ein Back-End-Tool aktiviert werden, das selbst SSH erfordert, können SSH-Dienste starten, die arbeiten standardmäßig unsicher, unter der weitreichenden Annahme, dass Sie daran denken, die Dinge zu verschärfen, wenn Sie vom Testmodus in den Live-im-Internet-Modus wechseln.
Tatsächlich stellten die Forscher von Ahn fest, dass sogar einfache Passwort-Wörterbuchlisten für diese Angreifer immer noch brauchbare Ergebnisse zu liefern scheinen, und führten gefährlich vorhersehbare Beispiele an, darunter:
root/abcdefghi root/123@abc weblogic/123 rpcuser/rpcuser test/p@ssw0rd nologin/nologin Hadoop/p@ssw0rd
Die Kombination nologin/nologin
ist eine Erinnerung (wie jedes Konto mit dem Passwort). changeme
), dass die besten Absichten oft in vergessenen Handlungen oder falschen Ergebnissen enden.
Immerhin rief ein Konto an nologin
soll der Selbstdokumentation dienen und darauf aufmerksam machen, dass es nicht für interaktive Anmeldungen verfügbar ist …
…aber das nützt nichts (und kann sogar zu einem falschen Sicherheitsgefühl führen), wenn es nur dem Namen nach sicher ist.
Was kommt als nächstes?
Die in diesen Fällen überwachten Angreifer scheinen eine oder mehrere von drei verschiedenen Nachwirkungen zu bevorzugen, nämlich:
- Installieren Sie ein DDoS-Angriffstool namens Tsunami. DDoS steht für verteilter Denial-of-Service-Angriff, was sich auf einen Cyberkriminalitätsangriff bezieht, bei dem Betrüger, die die Kontrolle über Tausende oder Hunderttausende kompromittierter Computer (und manchmal noch mehr) haben, ihnen befehlen, sich auf dem Onlinedienst eines Opfers zusammenzutun. Zeitraubende Anfragen werden so zusammengebastelt, dass sie einzeln betrachtet harmlos aussehen, aber absichtlich Server- und Netzwerkressourcen verschlingen, sodass legitime Benutzer einfach nicht durchkommen.
- Installieren Sie ein Kryptomining-Toolkit namens XMRig. Auch wenn betrügerisches Kryptowährungs-Mining Cyberkriminellen im Allgemeinen nicht viel Geld einbringt, gibt es in der Regel drei Ergebnisse. Erstens verfügen Ihre Server letztendlich über eine reduzierte Verarbeitungskapazität für legitime Aufgaben, wie z. B. die Bearbeitung von SSH-Anmeldeanfragen. Zweitens geht jeder zusätzliche Stromverbrauch, beispielsweise aufgrund zusätzlicher Verarbeitungs- und Klimatisierungslast, zu Ihren Lasten. Drittens öffnen Krypto-Mining-Gauner oft ihre eigenen Hintertüren, damit sie beim nächsten Mal einfacher eindringen und den Überblick über ihre Aktivitäten behalten können.
- Installieren Sie ein Zombie-Programm namens PerlBot oder ShellBot. Sogenannt bot or Zombie Schadsoftware ist für heutige Eindringlinge eine einfache Möglichkeit, Schadsoftware zu verbreiten weitere Befehle auf Ihre kompromittierten Server zugreifen, wann immer sie möchten, einschließlich der Installation zusätzlicher Malware, oft im Namen anderer Betrüger, die eine „Zugriffsgebühr“ zahlen, um nicht autorisierten Code ihrer Wahl auf Ihren Computern auszuführen.
Wie oben erwähnt, optimieren Angreifer, die über kompromittierte SSH-Anmeldungen neue Dateien ihrer Wahl einschleusen können, häufig auch Ihre bestehende SSH-Konfiguration, um eine völlig neue „sichere“ Anmeldung zu erstellen, die sie in Zukunft als Hintertür verwenden können.
Durch die Modifikation des sogenannten autorisierte öffentliche Schlüssel der .ssh
In das Verzeichnis eines bestehenden (oder neu hinzugefügten) Kontos können Kriminelle sich später heimlich wieder einladen.
Ironischerweise gilt die SSH-Anmeldung mit öffentlichem Schlüssel im Allgemeinen als viel sicherer als die passwortbasierte Anmeldung der alten Schule.
Bei schlüsselbasierten Anmeldungen speichert der Server Ihren öffentlichen Schlüssel (der sicher weitergegeben werden kann) und fordert Sie dann bei jeder Anmeldung dazu auf, eine einmalige zufällige Herausforderung mit dem entsprechenden privaten Schlüssel zu signieren.
Es werden nie Passwörter zwischen dem Client und dem Server ausgetauscht, daher gibt es nichts im Speicher (oder im Netzwerk gesendet), das beim nächsten Mal nützliche Passwortinformationen preisgeben könnte.
Das bedeutet natürlich, dass der Server mit den öffentlichen Schlüsseln, die er als Online-Identifikatoren akzeptiert, vorsichtig sein muss, denn die heimliche Implantation eines betrügerischen öffentlichen Schlüssels ist eine hinterhältige Möglichkeit, sich in Zukunft Zugang zu verschaffen.
Was ist zu tun?
- Erlauben Sie keine SSH-Anmeldungen nur mit Passwort. Sie können anstelle von Passwörtern zur Authentifizierung mit öffentlichem und privatem Schlüssel wechseln (gut für automatische Anmeldungen, da kein festes Passwort erforderlich ist) oder auch zu regelmäßigen, immer gleichen Passwörtern (eine einfache, aber effektive Form von 2FA).
- Überprüfen Sie regelmäßig die öffentlichen Schlüssel, auf die Ihr SSH-Server für automatisierte Anmeldungen angewiesen ist. Überprüfen Sie auch Ihre SSH-Serverkonfiguration für den Fall, dass frühere Angreifer Ihre Sicherheit heimlich geschwächt haben, indem sie sichere Standardeinstellungen durch schwächere Alternativen geändert haben. Zu den gängigen Tricks gehören das Aktivieren von Root-Anmeldungen direkt an Ihrem Server, das Abhören zusätzlicher TCP-Ports oder das Aktivieren von Nur-Passwort-Anmeldungen, die Sie normalerweise nicht zulassen würden.
- Verwenden Sie XDR-Tools, um nach Aktivitäten Ausschau zu halten, die Sie nicht erwarten würden. Auch wenn Sie implantierte Malware-Dateien wie Tsunami oder XMRig nicht direkt erkennen, ist das typische Verhalten dieser Cyberbedrohungen oft leicht zu erkennen, wenn Sie wissen, wonach Sie suchen müssen. Unerwartet hohe Ausbrüche von Netzwerkverkehr zu Zielen, die Sie normalerweise nicht sehen würden, könnten beispielsweise auf Datenexfiltration (Informationsdiebstahl) oder einen absichtlichen Versuch eines DDoS-Angriffs hinweisen. Eine anhaltend hohe CPU-Auslastung könnte auf betrügerische Kryptomining- oder Kryptocracking-Bemühungen hinweisen, die Ihre CPU-Leistung verbrauchen und somit Ihren Strom verbrauchen.
Hinweis. Sophos-Produkte erkennen die oben genannte Malware und werden als IoCs aufgeführt (Indikatoren für Kompromisse) von den AhnLab-Forschern, as Linux/Tsunami-A, Mal/PerlBot-A und Linux/Miner-EQ, wenn Sie Ihre Protokolle überprüfen möchten.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- EVM-Finanzen. Einheitliche Schnittstelle für dezentrale Finanzen. Hier zugreifen.
- Quantum Media Group. IR/PR verstärkt. Hier zugreifen.
- PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/06/21/beware-bad-passwords-as-attackers-co-opt-linux-servers-into-cybercrime/
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 1
- 15%
- 25
- 2FA
- a
- Fähig
- Über Uns
- oben
- Absolute
- akzeptieren
- Akzeptiert
- Zugang
- Konto
- über
- Aktionen
- Aktivierungs
- Aktivitäten
- Aktivität
- berührt das Schneidwerkzeug
- Zusätzliche
- gegen
- Alle
- erlauben
- allein
- ebenfalls
- Alternative
- Alternativen
- an
- und
- jedem
- ersichtlich
- SIND
- AS
- Annahme
- At
- Attacke
- Anschläge
- Aufmerksamkeit
- Authentifizierung
- Autor
- Auto
- Automatisiert
- verfügbar
- Zurück
- Back-End
- Hintertür-
- Backdoors
- background-image
- Badewanne
- basierend
- BE
- weil
- Namen
- BESTE
- zwischen
- sich hüten
- größer
- Banknoten
- Grenze
- Boden
- Marke
- Brand New
- Geschäft
- aber
- by
- namens
- CAN
- Kann bekommen
- Kapazität
- Auto
- Autos
- Häuser
- Fälle
- vorsichtig
- Center
- challenges
- Herausforderungen
- Ändern
- aus der Ferne überprüfen
- Wahl
- Auftraggeber
- Code
- Codes
- Farbe
- Kombination
- Kombinationen
- kommt
- begehen
- gemeinsam
- Komplex
- Kompromittiert
- Computer
- Konfiguration
- Verbindung
- Verbindungen
- betrachtet
- Verbrauch
- Behälter
- Smartgeräte App
- Dazugehörigen
- Kosten
- könnte
- Kurs
- Abdeckung
- erstellen
- Verbrechen
- Criminals
- kryptowährung
- Kryptowährung Mining
- kryptographisch
- Cyber-Kriminalität
- Cyber-Kriminelle
- Cyberthreats
- technische Daten
- Tage
- DDoS
- DDoS-Angriff
- Standard
- defaults
- Übergeben
- Reiseziele
- anders
- Direkt
- Display
- do
- Tut nicht
- Nicht
- Zeichnung
- Treiber
- fallen gelassen
- zwei
- Früher
- leicht
- Einfache
- essen
- Effektiv
- Bemühungen
- Strom
- ermöglichen
- Ende
- Sogar
- ÜBERHAUPT
- Jedes
- Beispiel
- Beispiele
- ausgetauscht
- Exfiltration
- vorhandenen
- erwarten
- Erklären
- extra
- Auge
- Tatsache
- falsch
- Mappen
- Suche nach
- fixiert
- Aussichten für
- unten stehende Formular
- für
- weiter
- Zukunft
- allgemein
- bekommen
- gut
- Gewährung
- Handling
- Haben
- Höhe
- GUTE
- ein Geschenk
- schweben
- HTTPS
- hunderte
- Identifikatoren
- if
- illegal
- in
- das
- Einschließlich
- zeigen
- Individuell
- Information
- Installieren
- beantragen müssen
- Absichten
- interaktive
- Internet
- in
- investigativ
- einladen
- Problem
- IT
- selbst
- jpg
- Gerichtsbarkeiten
- Behalten
- Wesentliche
- Tasten
- Wissen
- bekannt
- Koreanisch
- später
- ins Leben gerufen
- Gesetze
- führen
- Leck
- am wenigsten
- Verlassen
- Verlassen
- links
- legitim
- Gefällt mir
- linux
- Gelistet
- Hören
- listing
- Listen
- Belastung
- login
- aussehen
- Los
- um
- Making
- Malware
- Marge
- max-width
- Kann..
- Mittel
- gemeint
- Memory
- erwähnt
- Bergbau
- Model
- Geld
- überwacht
- mehr
- schlauer bewegen
- viel
- Name
- nämlich
- Need
- Bedürfnisse
- Netzwerk
- Netzwerktraffic
- Neu
- weiter
- nicht
- normal
- Normalerweise
- bekannt
- nichts
- of
- vorgenommen,
- on
- EINEM
- Online
- einzige
- XNUMXh geöffnet
- or
- Andere
- Andernfalls
- Ergebnisse
- übrig
- besitzen
- Teil
- Parteien
- Passwort
- Passwörter
- Alexander
- AUFMERKSAMKEIT
- Ausführen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Punkte
- Position
- BLOG-POSTS
- Werkzeuge
- Vorhersagbar
- privat
- Private Key
- Verarbeitung
- Produkte
- Programm
- Öffentlichkeit
- public Key
- öffentliche Schlüssel
- zufällig
- Reduziert
- bezieht sich
- regulär
- relativ
- merken
- Ruf
- Zugriffe
- erfordert
- Forscher
- Downloads
- Die Ergebnisse
- Überprüfen
- Recht
- Straße
- Wurzel
- Führen Sie
- Safe
- gleich
- Verbindung
- Sicherheitdienst
- sehen
- Sehen
- scheinen
- Sinn
- geschickt
- Fertige Server
- Lösungen
- kompensieren
- Setup
- Teilen
- Schale
- Schild
- Einfacher
- einfach
- Hinterhältig
- So
- solide
- einige
- Spot
- steht
- Anfang
- Immer noch
- gestohlen
- Läden
- so
- SVG
- Schalter
- Testen
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- dann
- Dort.
- Diese
- vom Nutzer definierten
- Dritte
- dritte seite
- fehlen uns die Worte.
- Tausende
- nach drei
- Durch
- Zeit
- zu
- heutigen
- auch
- Werkzeug
- Toolkit
- Werkzeuge
- Top
- verfolgen sind
- der Verkehr
- Übergang
- transparent
- Tsunami
- typisch
- typisch
- für
- Unerwartet
- entfesselt
- URL
- verwendbar
- -
- benutzt
- Mitglied
- Nutzer
- Verwendung von
- Opfer
- Besuchen Sie
- wollen
- Weg..
- GUT
- Was
- wann
- sobald
- welche
- WHO
- Breite
- werden wir
- mit
- Arbeiten
- würde
- XDR
- Du
- Ihr
- sich selbst
- Zephyrnet