Les chercheurs de l'entreprise anti-malware coréenne AhnLab sont avertissement à propos d'une attaque à l'ancienne qu'ils disent voir souvent ces jours-ci, où les cybercriminels devinent leur chemin dans les serveurs shell Linux et les utilisent comme points de départ pour de nouvelles attaques, souvent contre des tiers innocents.
Les charges utiles déchaînées par cette équipe d'escrocs autrement peu sophistiqués pourraient non seulement vous coûter de l'argent en raison de factures d'électricité inattendues, mais aussi ternir votre réputation en laissant les doigts enquêteurs des victimes en aval vous pointer du doigt, vous et votre réseau…
… de la même manière que, si votre voiture est volée puis utilisée pour commettre un délit, vous pouvez vous attendre à une visite des flics pour vous inviter à expliquer votre lien apparent avec le crime.
(Certaines juridictions ont en fait des lois sur la route interdisant de laisser les voitures garées déverrouillées, afin de décourager les conducteurs de rendre les choses trop faciles pour les TWOCers, les joyriders et autres criminels centrés sur la voiture.)
Sécurisé uniquement de nom
Ces attaquants utilisent l'astuce pas très secrète et pas du tout compliquée de trouver des serveurs shell Linux qui acceptent SSH (Secure Shell) sur Internet, puis simplement deviner les combinaisons nom d'utilisateur/mot de passe courantes dans l'espoir qu'au moins un utilisateur dispose d'un compte mal sécurisé.
Les serveurs SSH bien sécurisés ne permettront pas aux utilisateurs de se connecter uniquement avec des mots de passe, bien sûr, généralement en insistant sur une sorte de sécurité de connexion alternative ou supplémentaire basée sur des paires de clés cryptographiques ou des codes 2FA.
Mais les serveurs configurés à la hâte, ou lancés dans des conteneurs préconfigurés "prêts à l'emploi", ou activés dans le cadre d'un script de configuration plus important et plus complexe pour un outil back-end qui nécessite lui-même SSH, peuvent démarrer des services SSH qui fonctionnent de manière non sécurisée par défaut, sous l'hypothèse générale que vous vous souviendrez de resserrer les choses lorsque vous passerez du mode de test au mode en direct sur Internet.
En effet, les chercheurs d'Ahn ont noté que même de simples listes de dictionnaires de mots de passe semblent toujours fournir des résultats utilisables pour ces attaquants, énumérant des exemples dangereusement prévisibles qui incluent :
root/abcdefghi root/123@abc weblogic/123 rpcuser/rpcuser test/p@ssw0rd nologin/nologin Hadoop/p@ssw0rd
La combinaison nologin/nologin
est un rappel (comme tout compte avec le mot de passe changeme
) que les meilleures intentions se terminent souvent par des actions oubliées ou des résultats incorrects.
Après tout, un compte appelé nologin
est censé être auto-documenté, attirant l'attention sur le fait qu'il n'est pas disponible pour les connexions interactives…
… mais cela ne sert à rien (et peut même conduire à un faux sentiment de sécurité) s'il n'est sécurisé que de nom.
Qu'est-ce qui est abandonné ensuite ?
Les agresseurs suivis dans ces cas semblent privilégier une ou plusieurs des trois séquelles différentes, à savoir :
- Installez un outil d'attaque DDoS appelé Tsunami. DDoS signifie attaque par déni de service distribué, qui fait référence à une attaque de cybercriminalité dans laquelle des escrocs contrôlant des milliers ou des centaines de milliers d'ordinateurs compromis (et parfois plus que cela) leur ordonnent de commencer à se liguer contre le service en ligne d'une victime. Les requêtes qui font perdre du temps sont concoctées de manière à avoir l'air innocentes lorsqu'elles sont considérées individuellement, mais qui consomment délibérément les ressources du serveur et du réseau afin que les utilisateurs légitimes ne puissent tout simplement pas passer.
- Installez une boîte à outils de cryptominage appelée XMRig. Même si l'extraction de crypto-monnaie escroc ne rapporte généralement pas beaucoup d'argent aux cybercriminels, il y a généralement trois résultats. Premièrement, vos serveurs se retrouvent avec une capacité de traitement réduite pour un travail légitime, comme la gestion des demandes de connexion SSH ; deuxièmement, toute consommation d'électricité supplémentaire, due par exemple à une charge supplémentaire de traitement et de climatisation, est à votre charge ; troisièmement, les escrocs de cryptominage ouvrent souvent leurs propres portes dérobées afin qu'ils puissent entrer plus facilement la prochaine fois pour suivre leurs activités.
- Installez un programme zombie appelé PerlBot ou ShellBot. Soi-disant bot or zombie les logiciels malveillants sont un moyen simple pour les intrus d'aujourd'hui d'émettre autres commandes à vos serveurs compromis quand ils le souhaitent, y compris en installant des logiciels malveillants supplémentaires, souvent au nom d'autres escrocs qui paient des « frais d'accès » pour exécuter le code non autorisé de leur choix sur vos ordinateurs.
Comme mentionné ci-dessus, les attaquants qui sont capables d'implanter de nouveaux fichiers de leur choix via des connexions SSH compromises modifient souvent votre configuration SSH existante pour créer une toute nouvelle connexion "sécurisée" qu'ils peuvent utiliser comme porte dérobée à l'avenir.
En modifiant le soi-disant clés publiques autorisées dans le .ssh
répertoire d'un compte existant (ou nouvellement ajouté), les criminels peuvent secrètement les inviter à revenir plus tard.
Ironiquement, la connexion SSH basée sur une clé publique est généralement considérée comme beaucoup plus sécurisée que la connexion basée sur un mot de passe à l'ancienne.
Dans les connexions basées sur une clé, le serveur stocke votre clé publique (qui peut être partagée en toute sécurité), puis vous invite à signer un défi aléatoire unique avec la clé privée correspondante chaque fois que vous souhaitez vous connecter.
Aucun mot de passe n'est jamais échangé entre le client et le serveur, il n'y a donc rien en mémoire (ou envoyé sur le réseau) qui pourrait divulguer des informations de mot de passe qui seraient utiles la prochaine fois.
Bien sûr, cela signifie que le serveur doit être prudent quant aux clés publiques qu'il accepte comme identifiants en ligne, car l'implantation sournoise d'une clé publique malveillante est un moyen sournois de vous accorder un accès à l'avenir.
Que faire?
- N'autorisez pas les connexions SSH avec mot de passe uniquement. Vous pouvez passer à l'authentification par clé publique-privée au lieu des mots de passe (bon pour les connexions automatisées, car il n'y a pas besoin d'un mot de passe fixe), ou ainsi que des mots de passe réguliers identiques à chaque fois (une forme simple mais efficace de 2FA).
- Vérifiez fréquemment les clés publiques sur lesquelles votre serveur SSH s'appuie pour les connexions automatisées. Passez également en revue la configuration de votre serveur SSH, au cas où des attaquants antérieurs auraient sournoisement affaibli votre sécurité en remplaçant les valeurs par défaut sécurisées par des alternatives plus faibles. Les astuces courantes incluent l'activation des connexions root directement sur votre serveur, l'écoute sur des ports TCP supplémentaires ou l'activation de connexions par mot de passe uniquement que vous n'autoriseriez pas normalement.
- Utilisez les outils XDR pour garder un œil sur les activités auxquelles vous ne vous attendez pas. Même si vous ne repérez pas directement les fichiers malveillants implantés tels que Tsunami ou XMRig, le comportement typique de ces cybermenaces est souvent facile à repérer si vous savez ce qu'il faut rechercher. Des rafales de trafic réseau élevées et inattendues vers des destinations que vous ne verriez pas normalement, par exemple, pourraient indiquer une exfiltration de données (vol d'informations) ou une tentative délibérée d'effectuer une attaque DDoS. Une charge CPU constamment élevée peut indiquer des efforts de cryptominage ou de cryptocracking malveillants qui consomment la puissance de votre CPU et consomment ainsi votre électricité.
Note. Les produits Sophos détectent les malwares mentionnés ci-dessus et répertoriés comme IoC (indicateurs de compromis) par les chercheurs d'AhnLab, comme Linux/Tsunami-A, Mal/PerlBot-Aet une Linux/Miner-EQ, si vous souhaitez consulter vos journaux.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Financement EVM. Interface unifiée pour la finance décentralisée. Accéder ici.
- Groupe de médias quantiques. IR/PR amplifié. Accéder ici.
- PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://nakedsecurity.sophos.com/2023/06/21/beware-bad-passwords-as-attackers-co-opt-linux-servers-into-cybercrime/
- :possède
- :est
- :ne pas
- :où
- $UP
- 1
- 15%
- 25
- 2FA
- a
- Capable
- A Propos
- au dessus de
- Absolute
- acceptant
- Accepte
- accès
- Compte
- à travers
- actes
- activation
- d'activités
- activité
- actually
- Supplémentaire
- à opposer à
- Tous
- permettre
- seul
- aussi
- alternative
- des alternatives
- an
- ainsi que
- tous
- apparent
- SONT
- AS
- hypothèse
- At
- attaquer
- Attaques
- précaution
- Authentification
- auteur
- auto
- Automatisation
- disponibles
- RETOUR
- Back-end
- détourné
- Backdoors
- image de fond
- Mal
- basé
- BE
- car
- nom
- LES MEILLEURS
- jusqu'à XNUMX fois
- Il faut se méfier
- plus gros
- Billets
- frontière
- Bas et Leggings
- brand
- NOUVEAU
- la performance des entreprises
- mais
- by
- appelé
- CAN
- Peut obtenir
- Compétences
- fournisseur
- voitures
- maisons
- cas
- prudent
- Canaux centraux
- challenge
- globaux
- en changeant
- vérifier
- le choix
- client
- code
- codes
- Couleur
- combinaison
- комбинации
- vient
- commettre
- Commun
- complexe
- Compromise
- ordinateurs
- configuration
- connexion
- Connexions
- considéré
- consommation
- Conteneurs
- des bactéries
- Correspondant
- Prix
- pourriez
- Cours
- couverture
- engendrent
- Criminalité
- Criminels
- crypto-monnaie
- Crypto-monnaie
- cryptographique
- la cybercriminalité
- les cybercriminels
- cybermenaces
- données
- jours
- DDoS
- Attaque DDoS
- Réglage par défaut
- par défaut
- livrer
- destinations
- différent
- directement
- Commande
- do
- Ne fait pas
- Ne pas
- dessin
- conducteurs
- chuté
- deux
- Plus tôt
- même
- Easy
- manger
- Efficace
- efforts
- électricité
- permettant
- fin
- Pourtant, la
- JAMAIS
- Chaque
- exemple
- exemples
- échangé
- exfiltration
- existant
- attendre
- Expliquer
- supplémentaire
- œil
- fait
- non
- Fichiers
- trouver
- fixé
- Pour
- formulaire
- De
- plus
- avenir
- généralement
- obtenez
- Bien
- octroi
- Maniabilité
- Vous avez
- la taille
- Haute
- d'espérance
- flotter
- HTTPS
- Des centaines
- Identificateurs
- if
- Illégal
- in
- comprendre
- Y compris
- indiquer
- Individuellement
- d'information
- installer
- plutôt ;
- intentions
- Interactif
- Internet
- développement
- enquête
- nous invitons les riders XCO et DH à rouler sur nos pistes haute performance, et leurs supporters à profiter du spectacle. Pour le XNUMXe anniversaire, nous visons GRAND ! Vous allez vouloir être là ! Nous accueillerons la légendaire traversée de l'étant avec de la musique en direct ! Nous aurons également des divertissements pour les jeunes et les jeunes de cœur pendant l'après-midi. Vous ne voudrez pas manquer ça !
- aide
- IT
- lui-même
- jpg
- juridictions
- XNUMX éléments à
- ACTIVITES
- clés
- Savoir
- connu
- Coréen
- plus tard
- lancé
- Lois
- conduire
- fuite
- au
- Laisser
- départ
- à gauche
- légitime
- comme
- linux
- Listé
- Écoute
- inscription
- Liste
- charge
- vous connecter
- Style
- Lot
- a prendre une
- Fabrication
- malware
- Marge
- largeur maximale
- Mai..
- veux dire
- signifiait
- Mémoire
- mentionné
- Mines
- Mode
- de l'argent
- surveillé
- PLUS
- Bougez
- beaucoup
- prénom
- à savoir
- Besoin
- Besoins
- réseau et
- trafic réseau
- Nouveauté
- next
- aucune
- Ordinaire
- normalement
- noté
- rien
- of
- souvent
- on
- ONE
- en ligne
- uniquement
- ouvert
- or
- Autre
- autrement
- ande
- les résultats
- plus de
- propre
- partie
- les parties
- Mot de Passe
- mots de passe
- paul
- Payer
- Effectuer
- Platon
- Intelligence des données Platon
- PlatonDonnées
- des notes bonus
- position
- Poteaux
- power
- Prévisible
- Privé
- Clé privée
- traitement
- Produits
- Programme
- public
- Clé publique
- clés publiques
- aléatoire
- Prix Réduit
- se réfère
- Standard
- relatif
- rappeler
- réputation
- demandes
- a besoin
- chercheurs
- Resources
- Résultats
- Avis
- bon
- routières
- racine
- Courir
- des
- même
- dire
- sécurisé
- sécurité
- sur le lien
- voir
- sembler
- sens
- envoyé
- Serveurs
- service
- Services
- set
- installation
- Partager
- coquillage
- signer
- étapes
- simplement
- Sournois
- So
- solide
- quelques
- Spot
- peuplements
- Commencer
- Encore
- volé
- STORES
- tel
- SVG
- Interrupteur
- Essais
- que
- qui
- La
- leur
- Les
- puis
- Là.
- Ces
- l'ont
- des choses
- Troisièmement
- des tiers
- this
- milliers
- trois
- Avec
- fiable
- à
- aujourd'hui
- trop
- outil
- Boîte à outils
- les outils
- top
- suivre
- circulation
- transition
- communication
- Tsunami
- débutante
- typiquement
- sous
- Inattendu
- déchaîné
- URL
- utilisable
- utilisé
- d'utiliser
- Utilisateur
- utilisateurs
- en utilisant
- via
- victimes
- Visiter
- souhaitez
- Façon..
- WELL
- Quoi
- quand
- chaque fois que
- qui
- WHO
- largeur
- sera
- comprenant
- activités principales
- pourra
- XDR
- Vous n'avez
- Votre
- vous-même
- zéphyrnet