Badacze z koreańskiej firmy zajmującej się zwalczaniem złośliwego oprogramowania AhnLab są ostrzeżenie o old-schoolowym ataku, który, jak mówią, jest obecnie często obserwowany, kiedy to cyberprzestępcy odgadują drogę do serwerów powłoki Linuksa i wykorzystują je jako punkty wyjścia do dalszych ataków, często skierowanych przeciwko niewinnym stronom trzecim.
Ładunki uwolnione przez tę ekipę niewyrafinowanych oszustów mogą nie tylko kosztować cię pieniądze w postaci nieoczekiwanych rachunków za prąd, ale także zszargać twoją reputację, pozostawiając śledczym palce wskazujące na ciebie i twoją sieć…
…w ten sam sposób, w jaki jeśli Twój samochód zostanie skradziony, a następnie wykorzystany do popełnienia przestępstwa, możesz spodziewać się wizyty policji, która zaprosi Cię do wyjaśnienia twojego widocznego związku z przestępstwem.
(W niektórych jurysdykcjach obowiązują przepisy drogowe, które zabraniają pozostawiania niezamkniętych zaparkowanych samochodów, aby zniechęcić kierowców do ułatwiania życia TWOCers, joyriderom i innym przestępcom skoncentrowanym na samochodach).
Bezpieczny tylko z nazwy
Atakujący używają niezbyt tajnej i wcale nieskomplikowanej sztuczki polegającej na znalezieniu serwerów powłoki Linuksa, które akceptują SSH (Secure Shell) połączenia internetowe, a następnie po prostu zgadywanie typowych kombinacji nazwy użytkownika i hasła w nadziei, że przynajmniej jeden użytkownik ma słabo zabezpieczone konto.
Dobrze zabezpieczone serwery SSH oczywiście nie pozwolą użytkownikom logować się za pomocą samych haseł, zazwyczaj nalegając na jakieś alternatywne lub dodatkowe zabezpieczenia logowania oparte na parach kluczy kryptograficznych lub kodach 2FA.
Ale serwery konfigurowane w pośpiechu lub uruchamiane we wstępnie skonfigurowanych „gotowych do użycia” kontenerach lub aktywowane w ramach większego, bardziej złożonego skryptu instalacyjnego dla narzędzia zaplecza, które samo wymaga SSH, mogą uruchamiać usługi SSH, które domyślnie pracuj niepewnie, przy szerokim założeniu, że będziesz pamiętał o zaostrzeniu, gdy przejdziesz z trybu testowego do trybu na żywo w Internecie.
Rzeczywiście, badacze Ahn zauważyli, że nawet zwykłe listy słowników haseł nadal wydają się dostarczać użytecznych wyników dla tych atakujących, wymieniając niebezpiecznie przewidywalne przykłady, które obejmują:
root/abcdefghi root/123@abc weblogic/123 rpcuser/rpcuser test/p@ssw0rd nologin/nologin Hadoop/p@ssw0rd
Kombinacja nologin/nologin
jest przypomnieniem (jak każde konto z hasłem changeme
), że najlepsze intencje często kończą się zapomnianymi działaniami lub niewłaściwymi wynikami.
W końcu konto o nazwie nologin
ma być samodokumentujący, zwracając uwagę na fakt, że nie jest dostępny dla interaktywnych logowań…
… ale to nie ma sensu (a może nawet prowadzić do fałszywego poczucia bezpieczeństwa), jeśli jest bezpieczne tylko z nazwy.
Co wypadło dalej?
Osoby atakujące monitorowane w tych przypadkach wydają się faworyzować jeden lub więcej z trzech różnych następstw, a mianowicie:
- Zainstaluj narzędzie ataku DDoS znane jako Tsunami. DDoS oznacza rozproszony atak typu „odmowa usługi”., co odnosi się do ataku cyberprzestępczości, w którym oszuści kontrolujący tysiące lub setki tysięcy przejętych komputerów (a czasem więcej) nakazują im rozpoczęcie łączenia się w usłudze online ofiary. Żądania marnujące czas są wymyślane w taki sposób, aby wyglądały niewinnie, gdy są rozpatrywane indywidualnie, ale celowo pochłaniają zasoby serwera i sieci, aby legalni użytkownicy po prostu nie mogli się przedostać.
- Zainstaluj zestaw narzędzi do wydobywania kryptowalut o nazwie XMRig. Nawet jeśli nieuczciwe wydobywanie kryptowalut zazwyczaj nie przynosi cyberprzestępcom dużych pieniędzy, zazwyczaj istnieją trzy wyniki. Po pierwsze, twoje serwery mają ograniczoną zdolność przetwarzania do legalnej pracy, takiej jak obsługa żądań logowania SSH; po drugie, wszelkie dodatkowe zużycie energii elektrycznej, na przykład z powodu dodatkowego obciążenia przetwarzania i klimatyzacji, odbywa się na Twój koszt; po trzecie, oszuści zajmujący się wydobywaniem kryptowalut często otwierają własne backdoory, aby następnym razem łatwiej się do nich dostać i śledzić swoje działania.
- Zainstaluj program zombie o nazwie PerlBot lub ShellBot. Tak zwane pysk or zambi złośliwe oprogramowanie jest prostym sposobem, w jaki dzisiejsi intruzi mogą się rozprzestrzeniać dalsze polecenia na twoje zaatakowane serwery, kiedy tylko zechcą, w tym instalowanie dodatkowego złośliwego oprogramowania, często w imieniu innych oszustów, którzy płacą „opłatę za dostęp” za uruchomienie wybranego przez siebie nieautoryzowanego kodu na twoich komputerach.
Jak wspomniano powyżej, napastnicy, którzy są w stanie wszczepić nowe pliki według własnego wyboru za pomocą skompromitowanych loginów SSH, często modyfikują również istniejącą konfigurację SSH, aby utworzyć zupełnie nowy „bezpieczny” login, którego będą mogli użyć jako backdoora w przyszłości.
Modyfikując tzw autoryzowane klucze publiczne .ssh
katalogu istniejącego (lub nowo dodanego) konta, przestępcy mogą potajemnie zapraszać się z powrotem później.
Jak na ironię, logowanie SSH oparte na kluczu publicznym jest ogólnie uważane za znacznie bezpieczniejsze niż logowanie oparte na haśle starej szkoły.
W przypadku logowania opartego na kluczu serwer przechowuje Twój klucz publiczny (który można bezpiecznie udostępniać), a następnie wzywa Cię do podpisania jednorazowego losowego wyzwania z odpowiednim kluczem prywatnym za każdym razem, gdy chcesz się zalogować.
Żadne hasła nie są nigdy wymieniane między klientem a serwerem, więc w pamięci (ani przesyłanej przez sieć) nie ma nic, co mogłoby spowodować wyciek jakichkolwiek informacji o haśle, które byłyby przydatne następnym razem.
Oczywiście oznacza to, że serwer musi uważać na klucze publiczne, które akceptuje jako identyfikatory online, ponieważ podstępne wszczepienie nieuczciwego klucza publicznego jest podstępnym sposobem na przyznanie sobie dostępu w przyszłości.
Co robić?
- Nie zezwalaj na logowanie SSH tylko przy użyciu hasła. Możesz przełączyć się na uwierzytelnianie kluczem publiczno-prywatnym zamiast haseł (dobre do automatycznego logowania, ponieważ nie ma potrzeby stałego hasła), a także na zwykłe hasła za każdym razem (prosta, ale skuteczna forma 2FA).
- Często przeglądaj klucze publiczne, na których opiera się Twój serwer SSH do automatycznego logowania. Przejrzyj również konfigurację serwera SSH, na wypadek gdyby wcześniej atakujący podstępnie osłabili Twoje zabezpieczenia, zmieniając bezpieczne ustawienia domyślne na słabsze alternatywy. Typowe sztuczki obejmują umożliwienie logowania jako root bezpośrednio do serwera, nasłuchiwanie na dodatkowych portach TCP lub aktywowanie logowania tylko za pomocą hasła, na które normalnie byś nie zezwolił.
- Korzystaj z narzędzi XDR, aby mieć oko na aktywność, której się nie spodziewasz. Nawet jeśli nie zauważysz bezpośrednio wszczepionych plików złośliwego oprogramowania, takich jak Tsunami lub XMRig, typowe zachowanie tych cyberzagrożeń jest często łatwe do wykrycia, jeśli wiesz, czego szukać. Na przykład nieoczekiwanie duże wzrosty ruchu sieciowego do miejsc docelowych, których normalnie byś nie widział, mogą wskazywać na eksfiltrację danych (kradzież informacji) lub celową próbę przeprowadzenia ataku DDoS. Konsekwentnie wysokie obciążenie procesora może wskazywać na nieuczciwe próby wydobywania kryptowaluty lub cryptocrakingu, które wysysają moc procesora, a tym samym pochłaniają energię elektryczną.
Notatka. Produkty Sophos wykrywają wyżej wymienione złośliwe oprogramowanie i są wymienione jako IoC (wskaźniki kompromisu) przez badaczy AhnLab, as Linux/Tsunami-A, Mal/PerlBot-A, Linux/Miner-EQ, jeśli chcesz sprawdzić swoje dzienniki.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- EVM Finanse. Ujednolicony interfejs dla zdecentralizowanych finansów. Dostęp tutaj.
- Quantum Media Group. Wzmocnienie IR/PR. Dostęp tutaj.
- PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
- Źródło: https://nakedsecurity.sophos.com/2023/06/21/beware-bad-passwords-as-attackers-co-opt-linux-servers-into-cybercrime/
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 1
- 15%
- 25
- 2FA
- a
- Zdolny
- O nas
- powyżej
- bezwzględny
- akceptując
- Akceptuje
- dostęp
- Konto
- w poprzek
- działania
- aktywujący
- zajęcia
- działalność
- faktycznie
- Dodatkowy
- przed
- Wszystkie kategorie
- dopuszczać
- sam
- również
- alternatywny
- alternatywy
- an
- i
- każdy
- pozorny
- SĄ
- AS
- założenie
- At
- atakować
- Ataki
- Uwaga
- Uwierzytelnianie
- autor
- samochód
- zautomatyzowane
- dostępny
- z powrotem
- Back-end
- tylne drzwi
- Backdoory
- background-image
- Łazienka
- na podstawie
- BE
- bo
- w imieniu
- BEST
- pomiędzy
- Strzec się
- większe
- Banknoty
- granica
- Dolny
- marka
- Brand New
- biznes
- ale
- by
- nazywa
- CAN
- Może uzyskać
- Pojemność
- wózek
- samochody
- walizka
- Etui
- ostrożny
- Centrum
- wyzwanie
- wyzwania
- wymiana pieniędzy
- ZOBACZ
- wybór
- klient
- kod
- Kody
- kolor
- połączenie
- kombinacje
- byliśmy spójni, od początku
- zobowiązanie się
- wspólny
- kompleks
- Zagrożone
- komputery
- systemu
- połączenie
- połączenia
- za
- konsumpcja
- Pojemniki
- kontrola
- Odpowiedni
- Koszty:
- mógłby
- Kurs
- pokrywa
- Stwórz
- Przestępstwo
- przestępcy
- kryptowaluta
- Górnictwo Kryptowalutowe
- kryptograficzny
- cyberprzestępczość
- cyberprzestępcy
- cyberzagrożenia
- dane
- Dni
- DDoS
- atak DDoS
- Domyślnie
- Domyślnie
- dostarczyć
- Cele podróży
- różne
- bezpośrednio
- Wyświetlacz
- do
- Nie
- nie
- rysunek
- sterowniki
- porzucone
- z powodu
- Wcześniej
- z łatwością
- łatwo
- jeść
- Efektywne
- starania
- elektryczność
- umożliwiając
- zakończenia
- Parzyste
- EVER
- Każdy
- przykład
- przykłady
- wymieniony
- eksfiltracja
- Przede wszystkim system został opracowany
- oczekiwać
- Wyjaśniać
- dodatkowy
- oko
- fakt
- fałszywy
- Akta
- znalezieniu
- ustalony
- W razie zamówieenia projektu
- Nasz formularz
- od
- dalej
- przyszłość
- ogólnie
- otrzymać
- dobry
- przyznanie
- Prowadzenie
- Have
- wysokość
- Wysoki
- nadzieję
- unosić
- HTTPS
- Setki
- identyfikatory
- if
- Nielegalny
- in
- zawierać
- Włącznie z
- wskazać
- Indywidualnie
- Informacja
- Instalacja
- zamiast
- intencje
- interaktywne
- Internet
- najnowszych
- badawczy
- zapraszać
- problem
- IT
- samo
- jpg
- jurysdykcje
- Trzymać
- Klawisz
- Klawisze
- Wiedzieć
- znany
- koreański
- później
- uruchomiona
- Laws
- prowadzić
- przeciec
- najmniej
- Pozostawiać
- pozostawiając
- lewo
- prawowity
- lubić
- linux
- Katalogowany
- Słuchanie
- wymienianie kolejno
- wykazy
- załadować
- Zaloguj Się
- Popatrz
- Partia
- robić
- Dokonywanie
- malware
- Margines
- Maksymalna szerokość
- Może..
- znaczy
- Oznaczało
- Pamięć
- wzmiankowany
- Górnictwo
- Moda
- pieniądze
- monitorowane
- jeszcze
- ruch
- dużo
- Nazwa
- mianowicie
- Potrzebować
- wymagania
- sieć
- ruch sieciowy
- Nowości
- Następny
- Nie
- normalna
- normalnie
- zauważyć
- nic
- of
- często
- on
- ONE
- Online
- tylko
- koncepcja
- or
- Inne
- Inaczej
- na zewnątrz
- wyniki
- koniec
- własny
- część
- strony
- Hasło
- hasła
- Paweł
- Zapłacić
- wykonać
- plato
- Analiza danych Platona
- PlatoDane
- zwrotnica
- position
- Wiadomości
- power
- Możliwy do przewidzenia
- prywatny
- Klucz prywatny
- przetwarzanie
- Produkty
- Program
- publiczny
- Klucz publiczny
- klucze publiczne
- przypadkowy
- Zredukowany
- odnosi
- regularny
- względny
- pamiętać
- reputacja
- wywołań
- Wymaga
- Badacze
- Zasoby
- Efekt
- przeglądu
- prawo
- droga
- korzeń
- run
- "bezpiecznym"
- taki sam
- powiedzieć
- bezpieczne
- bezpieczeństwo
- widzieć
- widzenie
- wydać się
- rozsądek
- wysłany
- Serwery
- usługa
- Usługi
- zestaw
- ustawienie
- Share
- Powłoka
- znak
- Prosty
- po prostu
- Podstępny
- So
- solidny
- kilka
- Spot
- stojaki
- początek
- Nadal
- skradziony
- sklep
- taki
- SVG
- Przełącznik
- Testowanie
- niż
- że
- Połączenia
- ich
- Im
- następnie
- Tam.
- Te
- one
- rzeczy
- Trzeci
- osoby trzecie
- to
- tysiące
- trzy
- Przez
- czas
- do
- dzisiaj
- także
- narzędzie
- Zestaw narzędzi
- narzędzia
- Top
- śledzić
- ruch drogowy
- przejście
- przezroczysty
- Tsunami
- typowy
- zazwyczaj
- dla
- Nieoczekiwany
- uwolniony
- URL
- nadający się do użytku
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- za pomocą
- przez
- Ofiary
- Odwiedzić
- chcieć
- Droga..
- DOBRZE
- Co
- jeśli chodzi o komunikację i motywację
- ilekroć
- który
- KIM
- szerokość
- będzie
- w
- Praca
- by
- XDR
- You
- Twój
- siebie
- zefirnet