국내 안티멀웨어 기업 안랩의 연구원들은 경고 사이버 범죄자들이 Linux 셸 서버로 가는 길을 추측하여 추가 공격을 위한 출발점으로 사용하는 경우가 많으며, 종종 무고한 제XNUMX자에 대한 구식 공격에 대해 이야기합니다.
이 순진한 사기꾼 무리가 풀어놓은 페이로드는 예상치 못한 전기 요금으로 인해 비용이 발생할 수 있을 뿐만 아니라 귀하와 귀하의 네트워크를 가리키는 하위 피해자의 조사 손가락을 남겨 귀하의 평판을 손상시킬 수 있습니다...
...동일한 방식으로, 자동차를 도난당한 후 범죄에 사용하는 경우 경찰이 방문하여 범죄와의 명백한 연관성을 설명하도록 요청할 수 있습니다.
(실제로 일부 관할권에서는 운전자가 TWOCer, 조이라이더 및 기타 자동차 중심 범죄자가 일을 너무 쉽게 만들지 않도록 하기 위해 주차된 차량을 잠금 해제한 상태로 두는 것을 불법으로 만드는 도로법이 있습니다.)
이름만으로 보안
이 공격자들은 SSH를 허용하는 Linux 셸 서버를 찾는 그다지 비밀스럽지 않고 전혀 복잡하지 않은 트릭을 사용하고 있습니다(보안 쉘) 인터넷을 통해 연결한 다음 최소한 한 명의 사용자가 보안이 취약한 계정을 가지고 있기를 바라며 일반적인 사용자 이름/암호 조합을 추측합니다.
잘 보안된 SSH 서버는 일반적으로 암호화 키 쌍 또는 2FA 코드를 기반으로 하는 일종의 대체 또는 추가 로그온 보안을 요구하여 사용자가 암호만으로 로그인하는 것을 허용하지 않습니다.
그러나 서버가 급하게 설정되거나 미리 구성된 "사용 준비가 된" 컨테이너에서 실행되거나 자체적으로 SSH가 필요한 백엔드 도구를 위한 더 크고 복잡한 설정 스크립트의 일부로 활성화되면 다음과 같은 SSH 서비스를 시작할 수 있습니다. 테스트 모드에서 인터넷 라이브 모드로 이동할 때 작업을 강화해야 한다는 것을 전면적으로 가정하여 기본적으로 안전하지 않게 작업합니다.
실제로 Ahn의 연구원들은 단순한 암호 사전 목록조차도 이러한 공격자에게 여전히 유용한 결과를 제공하는 것으로 보이며 다음과 같은 위험할 정도로 예측 가능한 예를 나열한다고 지적했습니다.
루트/abcdefghi 루트/123@abc weblogic/123 rpcuser/rpcuser 테스트/p@ssw0rd nologin/nologin Hadoop/p@ssw0rd
조합 nologin/nologin
알림입니다(비밀번호가 있는 모든 계정과 마찬가지로). changeme
) 최선의 의도는 종종 잊혀진 행동이나 잘못된 결과로 끝납니다.
결국, 라는 계정 nologin
대화형 로그인에 사용할 수 없다는 사실에 주의를 기울이면서 자체 문서화를 의미합니다...
… 하지만 이름만 안전하다면 아무 소용이 없습니다.
다음은 무엇을 떨어뜨릴까요?
이러한 경우에 모니터링되는 공격자는 다음과 같은 세 가지 다른 후유증 중 하나 이상을 선호하는 것으로 보입니다.
- Tsunami로 알려진 DDoS 공격 도구를 설치합니다. DDoS는 분산 서비스 거부 공격, 이는 수천 또는 수십만 대의 손상된 컴퓨터(때로는 그 이상)를 제어할 수 있는 사기꾼이 피해자의 온라인 서비스에 집단 공격을 시작하도록 명령하는 사이버 범죄 맹공을 말합니다. 시간을 낭비하는 요청은 개별적으로 고려할 때 무해해 보이지만 의도적으로 서버와 네트워크 리소스를 소모하여 합법적인 사용자가 통과할 수 없도록 조작됩니다.
- XMRig라는 크립토마이닝 툴킷을 설치합니다. 불량 암호화폐 채굴이 일반적으로 사이버 범죄자에게 많은 돈을 벌지 못하더라도 일반적으로 세 가지 결과가 있습니다. 첫째, 서버는 SSH 로그인 요청 처리와 같은 합법적인 작업에 대한 처리 용량이 감소합니다. 둘째, 예를 들어 추가 처리 및 에어컨 부하로 인한 추가 전력 소비는 귀하의 비용입니다. 셋째, 크립토마이닝 사기꾼은 종종 자신의 백도어를 열어 다음 번에 더 쉽게 침입하여 활동을 추적할 수 있습니다.
- PerlBot 또는 ShellBot이라는 좀비 프로그램을 설치합니다. 소위 포구 or 좀비 맬웨어는 오늘날의 침입자가 문제를 발생시키는 간단한 방법입니다. 추가 명령 추가 맬웨어 설치를 포함하여 원할 때마다 손상된 서버에 "액세스 요금"을 지불하는 다른 사기꾼을 대신하여 컴퓨터에서 선택한 무단 코드를 실행합니다.
위에서 언급한 바와 같이 손상된 SSH 로그인을 통해 자신이 선택한 새 파일을 이식할 수 있는 공격자는 종종 기존 SSH 구성을 조정하여 향후 백도어로 사용할 수 있는 완전히 새로운 "보안" 로그인을 만듭니다.
소위 수정하여 승인된 공개 키 FBI 증오 범죄 보고서 .ssh
기존(또는 새로 추가된) 계정의 디렉토리에서 범죄자는 나중에 비밀리에 다시 초대할 수 있습니다.
아이러니하게도 공개 키 기반 SSH 로그인은 일반적으로 구식 암호 기반 로그인보다 훨씬 안전한 것으로 간주됩니다.
키 기반 로그인에서 서버는 공개 키(공유하기에 안전함)를 저장한 다음 로그인할 때마다 해당 개인 키로 일회성 임의 챌린지에 서명하도록 요구합니다.
클라이언트와 서버 간에 암호가 교환되지 않으므로 다음 번에 유용할 암호 정보가 유출될 수 있는 메모리(또는 네트워크를 통해 전송)에 아무것도 없습니다.
물론 이것은 서버가 온라인 식별자로 허용하는 공개 키에 대해 주의해야 한다는 것을 의미합니다. 악의적인 공개 키를 몰래 이식하는 것은 나중에 자신에게 액세스 권한을 부여하는 교활한 방법이기 때문입니다.
무엇을해야 하는가?
- 암호 전용 SSH 로그인을 허용하지 마십시오. 암호(고정된 암호가 필요하지 않기 때문에 자동 로그온에 적합함) 또는 일반 동시 암호(간단하지만 효과적인 2FA 형식) 대신 공개-개인 키 인증으로 전환할 수 있습니다.
- 자동 로그인을 위해 SSH 서버가 사용하는 공개 키를 자주 검토하십시오. 초기 공격자가 보안 기본값을 더 약한 대안으로 변경하여 몰래 보안을 약화시킨 경우 SSH 서버 구성도 검토하십시오. 일반적인 트릭에는 서버에 직접 루트 로그인을 활성화하거나, 추가 TCP 포트에서 수신하거나, 일반적으로 허용하지 않는 암호 전용 로그인을 활성화하는 것이 포함됩니다.
- XDR 도구를 사용하여 예상하지 못한 활동을 주시하십시오. 쓰나미 또는 XMRig와 같은 이식된 맬웨어 파일을 직접 발견하지 못하더라도 이러한 사이버 위협의 일반적인 동작은 무엇을 찾아야 하는지 알고 있으면 쉽게 발견할 수 있습니다. 예를 들어 일반적으로 볼 수 없는 대상에 대한 예기치 않은 높은 네트워크 트래픽 버스트는 데이터 유출(정보 도용) 또는 의도적인 DDoS 공격 시도를 나타낼 수 있습니다. 지속적으로 높은 CPU 로드는 악성 크립토마이닝 또는 크립토크래킹 활동이 CPU 성능을 소모하여 전력을 소모하고 있음을 나타낼 수 있습니다.
참고. Sophos 제품은 위에서 언급한 맬웨어를 감지하고 IoC(타협의 지표) AhnLab 연구원에 의해, 리눅스/쓰나미-A, Mal/PerlBot-A및 리눅스/마이너-EQ, 로그를 확인하려는 경우.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- EVM 금융. 탈중앙화 금융을 위한 통합 인터페이스. 여기에서 액세스하십시오.
- 퀀텀미디어그룹. IR/PR 증폭. 여기에서 액세스하십시오.
- PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://nakedsecurity.sophos.com/2023/06/21/beware-bad-passwords-as-attackers-co-opt-linux-servers-into-cybercrime/
- :있다
- :이다
- :아니
- :어디
- $UP
- 1
- 15%
- 25
- 2FA
- a
- 할 수 있는
- 소개
- 위의
- 절대
- 수락
- 수락
- ACCESS
- 계정
- 가로질러
- 행위
- 활성화
- 방과 후 액티비티
- 활동
- 실제로
- 추가
- 반대
- All
- 수
- 혼자
- 또한
- 대안
- 대안
- an
- 및
- 어떤
- 명백한
- 있군요
- AS
- 가정
- At
- 공격
- 공격
- 주의
- 인증
- 저자
- 자동
- 자동화
- 가능
- 뒤로
- 백엔드
- 뒷문
- 백도어
- 배경 이미지
- 나쁜
- 기반으로
- BE
- 때문에
- 대신에
- BEST
- 사이에
- 주의
- 더 큰
- 지폐
- 경계
- 바닥
- 상표
- 아주 새로운
- 사업
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 라는
- CAN
- 얻을 수 있습니다
- 생산 능력
- 자동차
- 자동차
- 케이스
- 가지 경우
- 조심성 있는
- 센터
- 도전
- 과제
- 변화
- 검사
- 선택
- 클라이언트
- 암호
- 코드
- 색
- 결합
- 조합
- 제공
- 커밋
- 공통의
- 복잡한
- 손상된
- 컴퓨터
- 구성
- 연결
- 연결
- 고려
- 소비
- 용기
- 제어
- 동
- 비용
- 수
- 코스
- 엄호
- 만들
- 범죄
- 범죄자
- 암호 화폐
- Cryptocurrency Mining
- cryptographic
- 사이버 범죄
- 사이버 범죄자
- 사이버 위협
- 데이터
- 일
- DDoS 공격
- DDoS 공격
- 태만
- 기본값
- 배달하다
- 목적지
- 다른
- 직접
- 디스플레이
- do
- 하지 않습니다
- 말라
- 그림
- 드라이버
- 떨어 뜨린
- 두
- 이전
- 용이하게
- 쉽게
- 먹다
- 유효한
- 노력
- 전기
- 가능
- end
- 조차
- EVER
- 모든
- 예
- 예
- 교환 된
- 압출
- 현존하는
- 기대
- 설명
- 여분의
- 눈
- 사실
- 그릇된
- 파일
- 발견
- 고정
- 럭셔리
- 형태
- 에
- 추가
- 미래
- 일반적으로
- 얻을
- 좋은
- 부여
- 처리
- 있다
- 신장
- 높은
- 기대
- 가져가
- HTTPS
- 수백
- 식별자
- if
- 불법
- in
- 포함
- 포함
- 표시
- 개별적으로
- 정보
- 설치
- 를 받아야 하는 미국 여행자
- 의도
- 대화형
- 인터넷
- 으로
- 조사
- 초대
- 발행물
- IT
- 그 자체
- JPG
- 관할 구역
- 유지
- 키
- 키
- 알아
- 알려진
- 한국어
- 후에
- 시작
- 법규
- 리드
- 누출
- 가장 작은
- 휴가
- 출발
- 왼쪽 (left)
- 합법적 인
- 처럼
- 리눅스
- 상장 된
- 청취
- 리스팅
- 기울기
- 하중
- 로그인
- 보기
- 롯
- 확인
- 유튜브 영상을 만드는 것은
- 악성 코드
- 한계
- 최대 폭
- XNUMX월..
- 방법
- 의미
- 메모리
- 말하는
- 채굴
- 모드
- 돈
- 모니터링
- 배우기
- 움직임
- 많은
- name
- 즉
- 필요
- 요구
- 네트워크
- 네트워크 트래픽
- 신제품
- 다음 것
- 아니
- 표준
- 일반적으로
- 유명한
- 아무것도
- of
- 자주
- on
- ONE
- 온라인
- 만
- 열 수
- or
- 기타
- 그렇지 않으면
- 아웃
- 결과
- 위에
- 자신의
- 부품
- 파티
- 비밀번호
- 암호
- 폴
- 지불
- 수행
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 전철기
- 위치
- 게시물
- 힘
- 예측 가능
- 사설
- 개인 키
- 처리
- 제품
- 프로그램
- 공개
- 공개 키
- 공개 키
- 닥치는대로의
- 감소
- 의미
- 정규병
- 상대적인
- 기억
- 평판
- 요청
- 필요
- 연구원
- 제품 자료
- 결과
- 리뷰
- 연락해주세요
- 도로
- 뿌리
- 달리기
- 가장 안전한 따뜻함
- 같은
- 라고
- 안전해야합니다.
- 보안
- 참조
- 보고
- 보다
- 감각
- 전송
- 서버
- 서비스
- 서비스
- 세트
- 설치
- 공유
- 껍질
- 기호
- 단순, 간단, 편리
- 간단히
- 몰래 하는
- So
- 고체
- 일부
- Spot
- 서
- 스타트
- 아직도
- 훔친
- 상점
- 이러한
- SVG
- 스위치
- 지원
- 보다
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 그때
- 그곳에.
- Bowman의
- 그들
- 일
- 제삼
- 제 3 자
- 이
- 수천
- 세
- 을 통하여
- 시간
- 에
- 오늘의
- 너무
- 수단
- 툴킷
- 검색을
- 상단
- 선로
- 교통
- 전이
- 투명한
- 해일
- 전형적인
- 일반적으로
- 아래에
- 예기치 않은
- 해방
- URL
- 쓸 수 있는
- 사용
- 익숙한
- 사용자
- 사용자
- 사용
- 를 통해
- 피해자
- 방문
- 필요
- 방법..
- 잘
- 뭐
- 언제
- 때마다
- 어느
- 누구
- 폭
- 의지
- 과
- 작업
- 겠지
- XDR
- 자신의
- 너의
- 당신 자신
- 제퍼 넷