Cercetătorii de la compania coreeană anti-malware AhnLab sunt de avertizare despre un atac de tip veche pe care ei spun că îl întâlnesc în multe zile în prezent, în care infractorii cibernetici își ghicesc drumul spre serverele shell Linux și le folosesc ca puncte de plecare pentru alte atacuri, adesea împotriva unor terțe părți nevinovate.
Sarcinile utile dezlănțuite de acest echipaj de escroci altfel nesofisticați ar putea nu numai să vă coste bani prin facturi neașteptate de energie electrică, ci și să vă pătească reputația, lăsând degetele de investigație ale victimelor din aval îndreptate spre dvs. și rețeaua dvs....
… în același mod în care, dacă mașina dvs. este furată și apoi folosită la comiterea unei infracțiuni, vă puteți aștepta la o vizită din partea polițiștilor pentru a vă invita să vă explicați legătura aparentă cu crima.
(Unele jurisdicții au, de fapt, legi rutiere care fac ilegal să lăsați mașinile parcate neblocate, ca o modalitate de a descuraja șoferii să facă lucrurile prea ușoare pentru TWOCers, joyriders și alți criminali centrați pe mașină.)
Securizat numai pe nume
Acești atacatori folosesc trucul deloc secret și deloc complicat de a găsi servere shell Linux care acceptă SSH (Secure Shell) prin internet și apoi pur și simplu să ghicească combinațiile comune nume de utilizator/parolă, în speranța că cel puțin un utilizator are un cont prost securizat.
Serverele SSH bine securizate nu vor permite utilizatorilor să se autentifice numai cu parole, desigur, de obicei, insistând asupra unui fel de securitate alternativă sau suplimentară de conectare bazată pe perechi de chei criptografice sau coduri 2FA.
Dar serverele configurate în grabă sau lansate în containere „gata de utilizare” preconfigurate sau activate ca parte a unui script de configurare mai mare și mai complex pentru un instrument de back-end care în sine necesită SSH, pot porni servicii SSH care funcționează nesigur în mod implicit, sub presupunerea generală că vă veți aminti să înăspriți lucrurile atunci când treceți de la modul de testare la modul live-on-the-internet.
Într-adevăr, cercetătorii lui Ahn au remarcat că, chiar și simplele liste de dicționar de parole par să ofere rezultate utilizabile pentru acești atacatori, listând exemple periculos de previzibile care includ:
root/abcdefghi root/123@abc weblogic/123 rpcuser/rpcuser test/p@ssw0rd nologin/nologin Hadoop/p@ssw0rd
Combinatia nologin/nologin
este un memento (ca orice cont cu parola changeme
) că cele mai bune intenții se termină adesea în acțiuni uitate sau rezultate incorecte.
La urma urmei, un cont a sunat nologin
este menit să se auto-documenteze, atrăgând atenția asupra faptului că nu este disponibil pentru autentificare interactivă...
… dar asta nu are rost (și poate duce chiar la un fals sentiment de securitate) dacă este sigur doar de nume.
Ce mai scapă?
Atacatorii monitorizați în aceste cazuri par să favorizeze una sau mai multe dintre cele trei efecte secundare diferite, și anume:
- Instalați un instrument de atac DDoS cunoscut sub numele de Tsunami. DDoS înseamnă atac distribuit de refuz de serviciu, care se referă la un atac de criminalitate cibernetică în care escrocii care controlează mii sau sute de mii de computere compromise (și uneori mai mult decât atât) le comandă să înceapă să se regrupeze pe serviciul online al victimei. Solicitările care irosesc timpul sunt alcătuite astfel încât să pară inocente atunci când sunt luate în considerare individual, dar care consumă în mod deliberat resursele de server și de rețea, astfel încât utilizatorii legitimi pur și simplu nu pot trece.
- Instalați un set de instrumente de criptomining numit XMRig. Chiar dacă minarea criptomonedelor necinstite, în general, nu aduce mulți bani infractorilor cibernetici, există de obicei trei rezultate. În primul rând, serverele dvs. ajung să aibă o capacitate de procesare redusă pentru munca legitimă, cum ar fi gestionarea cererilor de conectare SSH; în al doilea rând, orice consum suplimentar de energie electrică, de exemplu din cauza încărcării suplimentare de procesare și aer condiționat, vine pe cheltuiala dvs.; în al treilea rând, escrocii de criptomină își deschid adesea propriile uși din spate, astfel încât să poată intra mai ușor data viitoare pentru a-și urmări activitățile.
- Instalați un program zombi numit PerlBot sau ShellBot. Așa-zisul bot or Zombie malware este o modalitate simplă de a emite intrușii de astăzi comenzi suplimentare la serverele dvs. compromise oricând doresc, inclusiv instalarea de programe malware suplimentare, adesea în numele altor escroci care plătesc o „taxă de acces” pentru a rula codul neautorizat la alegerea lor pe computerele dvs.
După cum s-a menționat mai sus, atacatorii care sunt capabili să implanteze fișiere noi la alegere prin autentificări SSH compromise modifică adesea și configurația SSH existentă pentru a crea o nouă autentificare „securizată” pe care o pot folosi ca ușă în spate în viitor.
Prin modificarea așa-numitului chei publice autorizate în .ssh
directorul unui cont existent (sau nou adăugat), infractorii se pot invita în secret mai târziu.
În mod ironic, autentificarea SSH bazată pe chei publice este, în general, considerată mult mai sigură decât autentificarea bazată pe parole vechi.
În conectările bazate pe chei, serverul stochează cheia dvs. publică (care este sigură de partajat), apoi vă provoacă să semnați o provocare aleatorie unică cu cheia privată corespunzătoare de fiecare dată când doriți să vă autentificați.
Nicio parolă nu este niciodată schimbată între client și server, așa că nu există nimic în memorie (sau trimis în rețea) care ar putea scurge orice informații despre parolă care ar fi utile data viitoare.
Desigur, acest lucru înseamnă că serverul trebuie să fie precaut cu privire la cheile publice pe care le acceptă ca identificatori online, deoarece implantarea ascunsă a unei chei publice necinstite este o modalitate ascunsă de a vă acorda acces în viitor.
Ce să fac?
- Nu permiteți conectări SSH numai cu parolă. Puteți trece la autentificarea cu cheie publică-privată în loc de parole (bun pentru conectări automate, deoarece nu este nevoie de o parolă fixă) sau la fel de bine la parole obișnuite de fiecare dată (o formă simplă, dar eficientă de 2FA).
- Examinați frecvent cheile publice pe care se bazează serverul dvs. SSH pentru autentificarea automată. Revizuiți și configurația serverului dvs. SSH, în cazul în care atacatorii anteriori v-au slăbit în mod furtiv securitatea prin schimbarea setărilor implicite sigure în alternative mai slabe. Trucurile obișnuite includ activarea autentificărilor root direct pe serverul dvs., ascultarea pe porturi TCP suplimentare sau activarea autentificărilor numai cu parolă pe care în mod normal nu le-ați permite.
- Utilizați instrumente XDR pentru a fi cu ochii pe activități la care nu v-ați aștepta. Chiar dacă nu identificați direct fișierele malware implantate, cum ar fi Tsunami sau XMRig, comportamentul tipic al acestor amenințări cibernetice este adesea ușor de observat dacă știți ce să căutați. De exemplu, explozii neașteptat de mari de trafic de rețea către destinații pe care nu le-ați vedea în mod normal, ar putea indica o exfiltrare a datelor (furt de informații) sau o încercare deliberată de a efectua un atac DDoS. Încărcarea constantă ridicată a procesorului ar putea indica eforturi de criptominări sau criptocracare necinstite care vă reduc puterea procesorului și, astfel, vă consumă energie electrică.
Notă. Produsele Sophos detectează programele malware menționate mai sus și listate ca IoC (indicatori de compromis) de către cercetătorii AhnLab, ca Linux/Tsunami-A, Mal/PerlBot-A, și Linux/Miner-EQ, dacă doriți să vă verificați jurnalele.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- EVM Finance. Interfață unificată pentru finanțare descentralizată. Accesați Aici.
- Grupul Quantum Media. IR/PR amplificat. Accesați Aici.
- PlatoAiStream. Web3 Data Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://nakedsecurity.sophos.com/2023/06/21/beware-bad-passwords-as-attackers-co-opt-linux-servers-into-cybercrime/
- :are
- :este
- :nu
- :Unde
- $UP
- 1
- 15%
- 25
- 2FA
- a
- Capabil
- Despre Noi
- mai sus
- Absolut
- acceptare
- acceptă
- acces
- Cont
- peste
- acțiuni
- activând
- activităţi de
- activitate
- de fapt
- Suplimentar
- împotriva
- TOATE
- permite
- singur
- de asemenea
- alternativă
- alternative
- an
- și
- Orice
- aparent
- SUNT
- AS
- presupunere
- At
- ataca
- Atacuri
- atenţie
- Autentificare
- autor
- Auto
- Automata
- disponibil
- înapoi
- Back-end
- ușă din dos
- Backdoors
- imagine de fundal
- Rău
- bazat
- BE
- deoarece
- folosul
- CEL MAI BUN
- între
- Ai grijă
- mai mare
- Bancnote
- frontieră
- De jos
- marca
- Brand nou
- afaceri
- dar
- by
- denumit
- CAN
- Poate obține
- Capacitate
- mașină
- masini
- caz
- cazuri
- precaut
- Centru
- contesta
- provocări
- schimbarea
- verifica
- alegere
- client
- cod
- Coduri
- culoare
- combinaţie
- combinaţii
- vine
- săvârșire
- Comun
- complex
- compromis
- Calculatoare
- Configuraţie
- conexiune
- Conexiuni
- luate în considerare
- consum
- Containere
- Control
- Corespunzător
- A costat
- ar putea
- Curs
- acoperi
- crea
- Crimă
- criminali
- cryptocurrency
- Cryptocurrency Mining
- criptografic
- criminalităţii cibernetice
- cybercriminals
- amenințări cibernetice
- de date
- Zi
- DDoS
- DDoS atac
- Mod implicit
- implicite
- livra
- destinații
- diferit
- direct
- Afişa
- do
- Nu
- Dont
- desen
- drivere
- scăzut
- două
- Mai devreme
- cu ușurință
- uşor
- mânca
- Eficace
- Eforturile
- electricitate
- permițând
- capăt
- Chiar
- EVER
- Fiecare
- exemplu
- exemple
- schimbate
- exfiltrațiile
- existent
- aștepta
- Explica
- suplimentar
- ochi
- fapt
- fals
- Fişiere
- descoperire
- fixată
- Pentru
- formă
- din
- mai mult
- viitor
- în general
- obține
- bine
- acordarea
- Manipularea
- Avea
- înălțime
- Înalt
- speranţă
- planare
- HTTPS
- sute
- identificatorii
- if
- Ilegal
- in
- include
- Inclusiv
- indica
- Individual
- informații
- Instalarea
- in schimb
- intenţiile
- interactiv
- Internet
- în
- de investigare
- invita
- problema
- IT
- în sine
- jpg
- jurisdicții
- A pastra
- Cheie
- chei
- Cunoaște
- cunoscut
- Coreeană
- mai tarziu
- a lansat
- legii
- conduce
- scăpa
- cel mai puțin
- Părăsi
- lăsând
- stânga
- legitim
- ca
- linux
- listat
- Ascultare
- listare
- liste
- încărca
- Logare
- Uite
- Lot
- face
- Efectuarea
- malware
- Margine
- max-width
- Mai..
- mijloace
- a însemnat
- Memorie
- menționat
- Minerit
- mod
- bani
- monitorizate
- mai mult
- muta
- mult
- nume
- și anume
- Nevoie
- nevoilor
- reţea
- trafic de retea
- Nou
- următor
- Nu.
- normală.
- în mod normal
- notat
- nimic
- of
- de multe ori
- on
- ONE
- on-line
- afară
- deschide
- or
- Altele
- in caz contrar
- afară
- rezultate
- peste
- propriu
- parte
- petreceri
- Parolă
- Parolele
- Paul
- Plătește
- Efectua
- Plato
- Informații despre date Platon
- PlatoData
- puncte
- poziţie
- postări
- putere
- predictibil
- privat
- cheie privată
- prelucrare
- Produse
- Program
- public
- Cheia publică
- chei publice
- aleator
- Redus
- se referă
- regulat
- relativ
- minte
- reputație
- cereri de
- Necesită
- cercetători
- Resurse
- REZULTATE
- revizuiască
- dreapta
- drum
- rădăcină
- Alerga
- sigur
- acelaşi
- Spune
- sigur
- securitate
- vedea
- vedere
- părea
- sens
- trimis
- Servere
- serviciu
- Servicii
- set
- configurarea
- Distribuie
- Coajă
- semna
- simplu
- pur şi simplu
- Meschin
- So
- solid
- unele
- Loc
- Standuri
- Începe
- Încă
- furate
- magazine
- astfel de
- SVG
- Intrerupator
- Testarea
- decât
- acea
- lor
- Lor
- apoi
- Acolo.
- Acestea
- ei
- lucruri
- Al treilea
- terțe părți
- acest
- mii
- trei
- Prin
- timp
- la
- azi
- de asemenea
- instrument
- Toolkit
- Unelte
- top
- urmări
- trafic
- tranziţie
- transparent
- Tsunami
- tipic
- tipic
- în
- Neașteptat
- dezlănțuit
- URL-ul
- utilizabil
- utilizare
- utilizat
- Utilizator
- utilizatorii
- folosind
- de
- victime
- Vizita
- vrea
- Cale..
- BINE
- Ce
- cand
- oricând
- care
- OMS
- lățime
- voi
- cu
- Apartamente
- ar
- XDR
- Tu
- Ta
- te
- zephyrnet