韓国のマルウェア対策企業AhnLabの研究者は、 警告 最近よく見られるという昔ながらの攻撃について、サイバー犯罪者が推測して Linux シェル サーバーに侵入し、それをさらなる攻撃の出発点として利用し、多くの場合、無実の第三者に対して行われます。
この洗練されていない詐欺師たちが放つペイロードは、予期せぬ電気代でお金がかかるだけでなく、下流の被害者からあなたとあなたのネットワークに捜査の手が向けられることで、あなたの評判を傷つける可能性があります…
…同じように、あなたの車が盗まれ、その後犯罪に使用された場合、警察が訪問して、犯罪との明らかな関係を説明するよう求められることが予想されます。
(一部の管轄区域では、TWOCers、ジョイライダー、その他の自動車中心の犯罪者が簡単に物事を進めることをドライバーが阻止する方法として、駐車中の車のロックを解除したままにすることを違法とする道路法を実際に定めています。)
名前だけで安全
これらの攻撃者は、SSH を受け入れる Linux シェル サーバーを見つけるという、それほど秘密ではなく、まったく複雑でもないトリックを使用しています (セキュアシェル) インターネット経由で接続し、少なくとも XNUMX 人のユーザーが安全性の低いアカウントを持っていることを期待して、一般的なユーザー名とパスワードの組み合わせを単純に推測します。
もちろん、十分に保護された SSH サーバーでは、ユーザーがパスワードだけでログインすることは許可されません。通常は、暗号化キーペアまたは 2FA コードに基づく、ある種の代替または追加のログオン セキュリティが要求されます。
ただし、サーバーを急いでセットアップしたり、事前構成された「すぐに使用できる」コンテナーで起動したり、サーバー自体が SSH を必要とするバックエンド ツールのより大規模で複雑なセットアップ スクリプトの一部としてアクティブ化したりすると、SSH サービスが起動される可能性があります。テスト モードからインターネット上でのライブ モードに移行するときに必ず厳重に管理するという大前提に基づいて、デフォルトでは安全性が低く動作します。
実際、アン氏の研究者らは、単純なパスワード辞書リストであっても、依然としてこれらの攻撃者にとって有用な結果をもたらすようだと指摘し、次のような危険な予測可能な例を列挙しています。
root/abcdefghi root/123@abc weblogic/123 rpcuser/rpcuser test/p@ssw0rd nologin/nologin Hadoop/p@ssw0rd
組み合わせ nologin/nologin
リマインダーです(パスワードのある他のアカウントと同様) changeme
)最善の意図が忘れられた行動や誤った結果に終わることがよくあること。
結局のところ、というアカウントは、 nologin
これは自己文書化することを目的としており、対話型ログインでは利用できないという事実に注意を向けています。
…しかし、名前だけが安全であれば、それは役に立ちません(そして、誤った安心感をもたらす可能性さえあります)。
次は何が落ちますか?
これらのケースで監視されている攻撃者は、次の XNUMX つの異なるアフターエフェクトのうち XNUMX つ以上を好んでいるようです。
- Tsunami として知られる DDoS 攻撃ツールをインストールします。 DDoS の略です 分散型サービス拒否攻撃これは、侵害された数千台または数十万台の (場合によってはそれ以上の) コンピューターを制御する犯罪者が、被害者のオンライン サービスで集団攻撃を開始するよう命令するサイバー犯罪の猛攻を指します。 時間を浪費するリクエストは、個別に考えると無害に見えるようにでっち上げられますが、意図的にサーバーとネットワークのリソースを消費して、正当なユーザーが単に通過できないようにします。
- XMRig と呼ばれるクリプトマイニング ツールキットをインストールします。 たとえ不正な暗号通貨マイニングが一般にサイバー犯罪者に大きな利益をもたらすことはないとしても、通常は XNUMX つの結果が生じます。 まず、サーバーの SSH ログイン要求の処理など、正当な作業の処理能力が低下します。 第二に、追加の処理や空調負荷などによる追加の電力消費はお客様の負担となります。 第三に、クリプトマイニング犯罪者は、次回より簡単に侵入して活動を追跡できるように、独自のバックドアを開くことがよくあります。
- PerlBot または ShellBot というゾンビ プログラムをインストールします。 いわゆる ボット or ゾンビ マルウェアは今日の侵入者にとって簡単な方法で発行されます。 さらなるコマンド 追加のマルウェアをインストールするなど、いつでも侵害されたサーバーにアクセスできます。これは、多くの場合、「アクセス料金」を支払ってあなたのコンピュータ上で任意の不正コードを実行する他の犯罪者に代わって行われます。
前述したように、侵害された SSH ログインを介して独自に選択した新しいファイルを埋め込むことができる攻撃者は、多くの場合、既存の SSH 設定を微調整して、将来バックドアとして使用できるまったく新しい「安全な」ログインを作成します。
いわゆる 認可された公開鍵 セクションに .ssh
既存の (または新しく追加された) アカウントのディレクトリにアクセスすると、犯罪者は後でそのアカウントを密かに招待できます。
皮肉なことに、公開キーベースの SSH ログインは、一般に、昔ながらのパスワードベースのログインよりもはるかに安全であると考えられています。
キーベースのログインでは、サーバーは公開キー (共有しても安全です) を保存し、ログインするたびに、対応する秘密キーを使用して XNUMX 回限りのランダムなチャレンジに署名するよう要求します。
クライアントとサーバー間でパスワードが交換されることはありません。そのため、次回役立つパスワード情報が漏洩する可能性のあるものはメモリ内に何もありません (またはネットワーク上に送信されます)。
もちろん、これは、不正な公開キーをこっそり埋め込むことは、将来自分自身にアクセスを許可する卑劣な方法であるため、サーバーがオンライン識別子として受け入れる公開キーについて注意する必要があることを意味します。
何をするか?
- パスワードのみの SSH ログインを許可しないでください。 パスワードの代わりに公開秘密キー認証に切り替えることもできます (固定パスワードが必要ないため、自動ログオンに適しています)。また、通常の毎回同じパスワード (シンプルだが効果的な 2FA 形式) にも切り替えることができます。
- SSH サーバーが自動ログインに依存する公開キーを頻繁に確認してください。 以前の攻撃者が安全なデフォルトをより弱い代替に変更してセキュリティをこっそり弱めた場合に備えて、SSH サーバーの設定も確認してください。 一般的な手口には、サーバーへの直接の root ログインの有効化、追加の TCP ポートでのリッスン、通常は許可しないパスワードのみのログインの有効化などが含まれます。
- XDR ツールを使用して、予期しないアクティビティを監視します。 Tsunami や XMRig などの埋め込まれたマルウェア ファイルを直接特定できなくても、何を探すべきかを知っていれば、これらのサイバー脅威の典型的な動作を簡単に特定できることがよくあります。 たとえば、通常は見られない宛先へのネットワーク トラフィックの予期せぬ大量のバーストは、データ漏洩 (情報窃取) または DDoS 攻撃を実行する意図的な試みを示している可能性があります。 CPU 負荷が一貫して高い場合は、不正なクリプトマイニングまたはクリプトクラッキングの取り組みが CPU パワーを食い荒らし、電力を消費していることを示している可能性があります。
ノート。 ソフォス製品は上記のマルウェアを検出し、IoC (侵入の痕跡)AhnLabの研究者らによると、 Linux/Tsunami-A, Mal/PerlBot-A, Linux/マイナー-EQ、ログを確認したい場合。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- EVMファイナンス。 分散型金融のための統一インターフェイス。 こちらからアクセスしてください。
- クォンタムメディアグループ。 IR/PR増幅。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/06/21/beware-bad-passwords-as-attackers-co-opt-linux-servers-into-cybercrime/
- :持っている
- :は
- :not
- :どこ
- $UP
- 1
- 視聴者の38%が
- 25
- 2FA
- a
- できる
- 私たちについて
- 上記の.
- 絶対の
- 受諾
- 受け入れる
- アクセス
- 越えて
- 行動
- 活性化する
- 活動
- アクティビティ
- 実際に
- NEW
- に対して
- すべて
- 許す
- 一人で
- また
- 代替案
- 選択肢
- an
- および
- どれか
- 見かけ上
- です
- AS
- 仮定
- At
- 攻撃
- 攻撃
- 注意
- 認証
- 著者
- オート
- 自動化
- 利用できます
- バック
- バックエンド
- 裏口
- バックドア
- 背景画像
- 悪い
- ベース
- BE
- なぜなら
- 代わって
- BEST
- の間に
- 用心します
- より大きい
- 札
- 国境
- ボトム
- ブランド
- 真新しい
- ビジネス
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 呼ばれます
- 缶
- 取得することができます
- 容量
- 自動車
- 自動車
- 場合
- 例
- 用心深い
- センター
- 挑戦する
- 課題
- 変化
- チェック
- 選択
- クライアント
- コード
- コード
- カラー
- 組み合わせ
- 組み合わせ
- comes
- コミットする
- コマンドと
- 複雑な
- 損害を受けた
- コンピューター
- 接続
- Connections
- 見なさ
- 消費
- コンテナ
- コントロール
- 対応する
- 費用
- 可能性
- コース
- カバー
- 作ります
- 犯罪
- 犯罪者
- cryptocurrency
- 暗号化鉱業
- 暗号
- サイバー犯罪
- サイバー犯罪者
- サイバー脅威
- データ
- 日
- DDoS攻撃
- DDoS攻撃
- デフォルト
- デフォルト
- 配信する
- 目的地
- 異なります
- 直接に
- ディスプレイ
- do
- そうではありません
- ドント
- 描画
- ドライバー
- 落とした
- 原因
- 前
- 簡単に
- 簡単に
- 食べる
- 効果的な
- 努力
- 電気
- 有効にする
- end
- さらに
- EVER
- あらゆる
- 例
- 例
- 交換した
- 流出
- 既存の
- 期待する
- 説明する
- 余分な
- 目
- 実際
- false
- 発見
- 固定の
- フォーム
- から
- さらに
- 未来
- 一般に
- 取得する
- 良い
- 付与
- ハンドリング
- 持ってる
- 高さ
- ハイ
- 希望
- ホバー
- HTTPS
- 何百
- 識別子
- if
- 違法
- in
- include
- 含めて
- 示す
- 個別に
- 情報
- インストールする
- を取得する必要がある者
- 意図
- 相互作用的
- インターネット
- に
- 調査的
- 招待
- 問題
- IT
- 自体
- JPG
- 管轄区域
- キープ
- キー
- キー
- 知っている
- 既知の
- 韓国語
- 後で
- 打ち上げ
- 法制
- つながる
- 漏れ
- 最低
- コメントを残す
- 残す
- 左
- 正当な
- ような
- linuxの
- リストされた
- 耳を傾ける
- リスト
- リスト
- 負荷
- ログイン
- 見て
- たくさん
- make
- 作成
- マルウェア
- マージン
- 最大幅
- 五月..
- 手段
- 意味した
- メモリ
- 言及した
- 鉱業
- モード
- お金
- 監視対象
- 他には?
- ずっと
- 名
- すなわち
- 必要
- ニーズ
- ネットワーク
- ネットワークトラフィック
- 新作
- 次の
- いいえ
- 通常の
- 通常は
- 注意
- 何も
- of
- 頻繁に
- on
- ONE
- オンライン
- の
- 開いた
- or
- その他
- さもないと
- でる
- 成果
- が
- 自分の
- 部
- パーティー
- パスワード
- パスワード
- Paul Cairns
- 支払う
- 実行する
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- 位置
- 投稿
- 電力
- 予測可能な
- プライベート
- 秘密鍵
- 処理
- 製品
- 演奏曲目
- 公共
- 公開鍵
- 公開鍵
- ランダム
- 電話代などの費用を削減
- 指し
- レギュラー
- 相対
- 覚えています
- 評判
- リクエスト
- 必要
- 研究者
- リソース
- 結果
- レビュー
- 右
- ロード
- ルート
- ラン
- 安全な
- 同じ
- 言う
- 安全に
- セキュリティ
- 見ること
- 思われる
- センス
- 送信
- サーバー
- サービス
- サービス
- セッションに
- シェアする
- シェル(Shell)
- 符号
- 簡単な拡張で
- 単に
- 卑劣な
- So
- 固体
- 一部
- Spot
- スタンド
- start
- まだ
- 盗まれました
- 店舗
- そのような
- SVG
- スイッチ
- テスト
- より
- それ
- アプリ環境に合わせて
- それら
- その後
- そこ。
- ボーマン
- 彼ら
- 物事
- 三番
- 第三者
- この
- 数千
- 三
- 介して
- 時間
- 〜へ
- 今日の
- あまりに
- ツール
- ツールキット
- 豊富なツール群
- top
- 追跡する
- トラフィック
- 遷移
- トランスペアレント
- 津波
- 典型的な
- 一般的に
- 下
- 予期しない
- 解き放たれました
- URL
- 使用可能な
- つかいます
- 中古
- ユーザー
- users
- 、
- 犠牲者
- 訪問
- 欲しいです
- 仕方..
- WELL
- この試験は
- いつ
- たびに
- which
- 誰
- 幅
- 意志
- 仕事
- でしょう
- XDR
- You
- あなたの
- あなた自身
- ゼファーネット