Pesquisadores da empresa antimalware coreana AhnLab estão aviso sobre um ataque da velha escola que eles dizem estar vendo muito atualmente, onde os cibercriminosos adivinham o caminho para os servidores shell do Linux e os usam como pontos de partida para novos ataques, geralmente contra terceiros inocentes.
As cargas desencadeadas por essa equipe de bandidos nada sofisticados podem não apenas custar-lhe dinheiro com contas inesperadas de eletricidade, mas também manchar sua reputação, deixando dedos investigativos de vítimas a jusante apontando para você e sua rede…
…da mesma forma que, se o seu carro for roubado e depois usado para cometer um crime, você pode esperar uma visita da polícia para convidá-lo a explicar sua aparente ligação com o crime.
(Algumas jurisdições realmente têm leis de trânsito que tornam ilegal deixar carros estacionados destrancados, como uma forma de desencorajar os motoristas de tornar as coisas muito fáceis para TWOCers, joyriders e outros criminosos centrados em carros.)
Seguro apenas no nome
Esses invasores estão usando o truque não muito secreto e nem um pouco complicado de encontrar servidores shell do Linux que aceitam SSH (Secure Shell) conexões pela Internet e simplesmente adivinhar combinações comuns de nome de usuário/senha na esperança de que pelo menos um usuário tenha uma conta mal protegida.
Servidores SSH bem protegidos não permitirão que os usuários façam login apenas com senhas, é claro, geralmente insistindo em algum tipo de segurança alternativa ou adicional de logon com base em pares de chaves criptográficas ou códigos 2FA.
Mas os servidores configurados às pressas, ou lançados em contêineres pré-configurados “prontos para uso”, ou ativados como parte de um script de configuração maior e mais complexo para uma ferramenta de back-end que requer SSH, podem iniciar serviços SSH que funcionam de forma insegura por padrão, sob a suposição abrangente de que você se lembrará de apertar as coisas quando passar do modo de teste para o modo ao vivo na Internet.
De fato, os pesquisadores de Ahn observaram que mesmo listas simples de dicionários de senhas ainda parecem fornecer resultados úteis para esses invasores, listando exemplos perigosamente previsíveis que incluem:
root/abcdefghi root/123@abc weblogic/123 rpcuser/rpcuser test/p@ssw0rd nologin/nologin Hadoop/p@ssw0rd
A combinação nologin/nologin
é um lembrete (como qualquer conta com a senha changeme
) que as melhores intenções geralmente terminam em ações esquecidas ou resultados incorretos.
Afinal, uma conta chamada nologin
destina-se a ser autodocumentado, chamando a atenção para o fato de que não está disponível para logins interativos…
…mas isso não adianta (e pode até levar a uma falsa sensação de segurança) se for seguro apenas no nome.
O que é descartado a seguir?
Os invasores monitorados nesses casos parecem favorecer um ou mais dos três diferentes efeitos posteriores, a saber:
- Instale uma ferramenta de ataque DDoS conhecida como Tsunami. DDoS significa ataque distribuído de negação de serviço, que se refere a um ataque de cibercrime no qual bandidos com controle sobre milhares ou centenas de milhares de computadores comprometidos (e às vezes mais do que isso) os comandam a começar a atacar o serviço online da vítima. Solicitações que desperdiçam tempo são planejadas para que pareçam inocentes quando consideradas individualmente, mas que consomem deliberadamente os recursos do servidor e da rede para que os usuários legítimos simplesmente não consigam passar.
- Instale um kit de ferramentas de criptomineração chamado XMRig. Mesmo que a mineração de criptomoeda desonesta geralmente não gere muito dinheiro para os cibercriminosos, normalmente há três resultados. Em primeiro lugar, seus servidores acabam com capacidade de processamento reduzida para trabalhos legítimos, como lidar com solicitações de login SSH; em segundo lugar, qualquer consumo adicional de eletricidade, por exemplo, devido a processamento extra e carga de ar condicionado, fica a seu cargo; em terceiro lugar, os criminosos de criptomineração geralmente abrem seus próprios backdoors para que possam entrar mais facilmente na próxima vez para acompanhar suas atividades.
- Instale um programa zumbi chamado PerlBot ou ShellBot. Assim chamado focinho or zumbi malware é uma maneira simples para os intrusos de hoje emitirem comandos adicionais para seus servidores comprometidos sempre que quiserem, incluindo a instalação de malware adicional, geralmente em nome de outros criminosos que pagam uma “taxa de acesso” para executar códigos não autorizados de sua escolha em seus computadores.
Como mencionado acima, os invasores que são capazes de implantar novos arquivos de sua própria escolha por meio de logins SSH comprometidos geralmente também ajustam sua configuração SSH existente para criar um novo login “seguro” que eles podem usar como backdoor no futuro.
Modificando o chamado chaves públicas autorizadas no .ssh
diretório de uma conta existente (ou recém-adicionada), os criminosos podem convidá-los secretamente a voltar mais tarde.
Ironicamente, o login SSH baseado em chave pública é geralmente considerado muito mais seguro do que o login baseado em senha da velha escola.
Em logins baseados em chave, o servidor armazena sua chave pública (que é segura para compartilhar) e, em seguida, desafia você a assinar um desafio aleatório único com a chave privada correspondente sempre que quiser fazer login.
Nenhuma senha é trocada entre o cliente e o servidor, portanto, não há nada na memória (ou enviado pela rede) que possa vazar qualquer informação de senha que possa ser útil na próxima vez.
Obviamente, isso significa que o servidor precisa ser cauteloso com as chaves públicas que aceita como identificadores on-line, porque implantar sorrateiramente uma chave pública não autorizada é uma maneira sorrateira de conceder acesso a si mesmo no futuro.
O que fazer?
- Não permita logins SSH somente com senha. Você pode alternar para autenticação de chave pública-privada em vez de senhas (bom para logons automatizados, porque não há necessidade de uma senha fixa) ou também para senhas regulares sempre iguais (uma forma simples, mas eficaz de 2FA).
- Revise com frequência as chaves públicas das quais seu servidor SSH depende para logins automatizados. Revise também a configuração do servidor SSH, caso invasores anteriores tenham enfraquecido sorrateiramente sua segurança, alterando os padrões de segurança para alternativas mais fracas. Truques comuns incluem habilitar logins de root diretamente em seu servidor, escutar em portas TCP adicionais ou ativar logins somente com senha que você normalmente não permitiria.
- Use as ferramentas XDR para ficar de olho em atividades inesperadas. Mesmo que você não localize diretamente arquivos de malware implantados, como Tsunami ou XMRig, o comportamento típico dessas ameaças cibernéticas geralmente é fácil de detectar se você souber o que procurar. Explosões inesperadamente altas de tráfego de rede para destinos que você normalmente não veria, por exemplo, podem indicar exfiltração de dados (roubo de informações) ou uma tentativa deliberada de realizar um ataque DDoS. Uma carga de CPU consistentemente alta pode indicar tentativas de criptomineração ou criptocracking desonestas que estão sugando a energia da CPU e, portanto, consumindo sua eletricidade.
Notas. Os produtos Sophos detectam o malware mencionado acima e listado como IoCs (indicadores de compromisso) pelos pesquisadores do AhnLab, como Linux/Tsunami-A, Mal/PerlBot-A e Linux/Miner-EQ, se você quiser verificar seus logs.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- EVM Finanças. Interface unificada para finanças descentralizadas. Acesse aqui.
- Grupo de Mídia Quântica. IR/PR Amplificado. Acesse aqui.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Fonte: https://nakedsecurity.sophos.com/2023/06/21/beware-bad-passwords-as-attackers-co-opt-linux-servers-into-cybercrime/
- :tem
- :é
- :não
- :onde
- $UP
- 1
- 15%
- 25
- 2FA
- a
- Capaz
- Sobre
- acima
- absoluto
- aceitar
- Aceita
- Acesso
- Conta
- em
- ações
- ativando
- atividades
- atividade
- Adicional
- contra
- Todos os Produtos
- permitir
- sozinho
- tb
- alternativa
- alternativas
- an
- e
- qualquer
- aparente
- SOMOS
- AS
- suposição
- At
- ataque
- Ataques
- por WhatsApp.
- Autenticação
- autor
- auto
- Automatizado
- disponível
- em caminho duplo
- Back-end
- Porta dos fundos
- Backdoors
- background-image
- Mau
- baseado
- BE
- Porque
- lado
- MELHOR
- entre
- Cuidado
- maior
- Contas inclusas
- fronteira
- Inferior
- interesse?
- Novo
- negócio
- mas a
- by
- chamado
- CAN
- Pode obter
- Capacidade
- carro
- carros
- casas
- casos
- cauteloso
- Centralização de
- desafiar
- desafios
- mudança
- verificar
- escolha
- cliente
- código
- códigos
- cor
- combinação
- combinações
- vem
- comprometendo
- comum
- integrações
- Comprometido
- computadores
- Configuração
- da conexão
- Coneções
- considerado
- consumo
- Containers
- ao controle
- Correspondente
- Custo
- poderia
- Para
- cobrir
- crio
- Crime
- Os criminosos
- criptomoedas
- Mineração Cryptocurrency
- criptografia
- cibercrime
- cibercriminosos
- ciberameaças
- dados,
- dias
- DDoS
- ataque DDoS
- Padrão
- defaults
- entregar
- destinos
- diferente
- diretamente
- Ecrã
- do
- Não faz
- não
- desenho
- Drivers
- desistiu
- dois
- Mais cedo
- facilmente
- fácil
- comer
- Eficaz
- esforços
- eletricidade
- permitindo
- final
- Mesmo
- SEMPRE
- Cada
- exemplo
- exemplos
- trocado
- exfiltração
- existente
- esperar
- Explicação
- extra
- olho
- fato
- falso
- Arquivos
- descoberta
- fixado
- Escolha
- formulário
- da
- mais distante
- futuro
- geralmente
- ter
- Bom estado, com sinais de uso
- concessão
- Manipulação
- Ter
- altura
- Alta
- esperança
- pairar
- HTTPS
- Centenas
- Identificadores
- if
- Ilegal
- in
- incluir
- Incluindo
- indicam
- Individualmente
- INFORMAÇÕES
- instalando
- em vez disso
- intenções
- interativo
- Internet
- para dentro
- investigativo
- convidar
- emitem
- IT
- se
- jpg
- jurisdições
- Guarda
- Chave
- chaves
- Saber
- conhecido
- Coreana
- mais tarde
- lançado
- Leis
- conduzir
- vazar
- mínimo
- Deixar
- partida
- esquerda
- legítimo
- como
- linux
- Listado
- Escuta
- listagem
- listas
- carregar
- entrar
- olhar
- lote
- fazer
- Fazendo
- malwares
- Margem
- max-width
- Posso..
- significa
- significava
- Memória
- mencionado
- Mineração
- Moda
- dinheiro
- monitorados
- mais
- mover
- muito
- nome
- nomeadamente
- você merece...
- Cria
- rede
- tráfego de rede
- Novo
- Próximo
- não
- normal
- normalmente
- notado
- nada
- of
- frequentemente
- on
- ONE
- online
- só
- aberto
- or
- Outros
- de outra forma
- Fora
- resultados
- Acima de
- próprio
- parte
- partes
- Senha
- senhas
- Paul
- Pagar
- Realizar
- platão
- Inteligência de Dados Platão
- PlatãoData
- pontos
- posição
- POSTAGENS
- poder
- Previsível
- privado
- chave privada
- em processamento
- Produtos
- Agenda
- público
- chave pública
- chaves públicas
- acaso
- Reduzido
- refere-se
- regular
- relativo
- lembrar
- reputação
- pedidos
- exige
- pesquisadores
- Recursos
- Resultados
- rever
- certo
- estrada
- raiz
- Execute
- seguro
- mesmo
- dizer
- seguro
- segurança
- Vejo
- visto
- parecem
- sentido
- enviei
- Servidores
- serviço
- Serviços
- conjunto
- instalação
- Partilhar
- concha
- assinar
- simples
- simplesmente
- Sorrateira
- So
- sólido
- alguns
- Spot
- fica
- começo
- Ainda
- roubado
- lojas
- tal
- SVG
- Interruptor
- ensaio
- do que
- que
- A
- deles
- Eles
- então
- Lá.
- Este
- deles
- coisas
- Terceiro
- terceiro
- isto
- milhares
- três
- Através da
- tempo
- para
- hoje
- também
- ferramenta
- kit de ferramentas
- ferramentas
- topo
- pista
- tráfego
- transição
- transparente
- Tsunami
- típico
- tipicamente
- para
- Inesperado
- desencadeou
- URL
- utilizável
- usar
- usava
- Utilizador
- usuários
- utilização
- via
- vítimas
- Visite a
- queremos
- Caminho..
- BEM
- O Quê
- quando
- sempre que
- qual
- QUEM
- largura
- precisarão
- de
- Atividades:
- seria
- XDR
- Vocês
- investimentos
- você mesmo
- zefirnet