Исследователи из корейской компании AhnLab, специализирующейся на защите от вредоносных программ, предупреждение об атаке старой школы, которую, по их словам, они часто наблюдают в наши дни, когда киберпреступники угадывают путь к серверам оболочки Linux и используют их в качестве отправной точки для дальнейших атак, часто против невиновных третьих лиц.
Полезная нагрузка, выпущенная этой командой неискушенных мошенников, может не только стоить вам денег из-за неожиданных счетов за электроэнергию, но и запятнать вашу репутацию, оставляя следственные пальцы нижестоящих жертв, указывающих на вас и вашу сеть…
…так же, как если ваш автомобиль был украден, а затем использован для совершения преступления, вы можете ожидать визита копов, чтобы пригласить вас объяснить вашу очевидную связь с преступлением.
(В некоторых юрисдикциях на самом деле действуют дорожные законы, запрещающие оставлять припаркованные машины незапертыми, чтобы отговорить водителей от того, чтобы они не слишком упрощали жизнь для TWOCers, джойрайдеров и других преступников, ориентированных на автомобили.)
Безопасный только по названию
Эти злоумышленники используют не очень секретный и совсем не сложный способ найти серверы оболочки Linux, которые принимают SSH (Secure Shell) подключений через Интернет, а затем просто угадывать распространенные комбинации имени пользователя и пароля в надежде, что хотя бы один пользователь имеет плохо защищенную учетную запись.
Конечно, хорошо защищенные SSH-серверы не позволят пользователям входить в систему только с паролями, обычно настаивая на какой-то альтернативной или дополнительной безопасности входа в систему, основанной на криптографических парах ключей или кодах 2FA.
Но серверы, настроенные в спешке, или запущенные в предварительно сконфигурированных «готовых к использованию» контейнерах, или активированные как часть более крупного и сложного сценария установки для внутреннего инструмента, который сам требует SSH, могут запускать службы SSH, которые работать небезопасно по умолчанию, исходя из предположения, что вы не забудете исправить ситуацию, когда перейдете из режима тестирования в режим «живой в Интернете».
Действительно, исследователи Ана отметили, что даже простые списки словарей паролей по-прежнему дают полезные результаты для этих злоумышленников, перечисляя опасно предсказуемые примеры, которые включают:
root/abcdefghi root/123@abc weblogic/123 rpcuser/rpcuser test/p@ssw0rd nologin/nologin Hadoop/p@ssw0rd
Комбинация nologin/nologin
является напоминанием (как и любая учетная запись с паролем changeme
), что самые лучшие намерения часто заканчиваются забытыми действиями или неправильными результатами.
В конце концов, счет под названием nologin
предназначен для самодокументирования, привлекая внимание к тому факту, что он недоступен для интерактивного входа в систему…
…но это бесполезно (и даже может привести к ложному чувству безопасности), если он безопасен только по названию.
Что упало дальше?
Злоумышленники, наблюдаемые в этих случаях, похоже, предпочитают один или несколько из трех различных последствий, а именно:
- Установите инструмент DDoS-атаки, известный как Tsunami. DDoS означает распределенная атака типа «отказ в обслуживании», который относится к натиску киберпреступников, в ходе которого мошенники, контролирующие тысячи или сотни тысяч скомпрометированных компьютеров (а иногда и больше), приказывают им начать группировку на онлайн-сервисе жертвы. Запросы на трату времени составлены таким образом, что выглядят невинно, если рассматривать их по отдельности, но намеренно потребляют серверные и сетевые ресурсы, так что законные пользователи просто не могут пройти.
- Установите набор инструментов для криптомайнинга под названием XMRig. Даже если мошеннический майнинг криптовалют обычно не приносит киберпреступникам больших денег, обычно есть три исхода. Во-первых, у ваших серверов снижается вычислительная мощность для легитимной работы, такой как обработка запросов на вход по SSH; во-вторых, любое дополнительное потребление электроэнергии, например, из-за дополнительной нагрузки на обработку и кондиционирование воздуха, происходит за ваш счет; в-третьих, мошенники, занимающиеся майнингом криптовалюты, часто открывают свои собственные бэкдоры, чтобы в следующий раз им было легче проникнуть внутрь и отслеживать свою деятельность.
- Установите зомби-программу под названием PerlBot или ShellBot. Так называемые морда or о зомби вредоносное ПО — это простой способ для современных злоумышленников дальнейшие команды на ваши скомпрометированные серверы в любое время, включая установку дополнительных вредоносных программ, часто от имени других мошенников, которые платят «плату за доступ» для запуска несанкционированного кода по своему выбору на ваших компьютерах.
Как упоминалось выше, злоумышленники, которые могут внедрять новые файлы по своему выбору через скомпрометированные логины SSH, часто также изменяют вашу существующую конфигурацию SSH, чтобы создать совершенно новый «безопасный» логин, который они могут использовать в качестве бэкдора в будущем.
Путем модификации так называемого авторизованные открытые ключи в .ssh
каталог существующей (или недавно добавленной) учетной записи, преступники могут тайно пригласить себя позже.
По иронии судьбы, вход в SSH на основе открытого ключа обычно считается гораздо более безопасным, чем вход в систему на основе пароля старой школы.
При входе в систему на основе ключа сервер хранит ваш открытый ключ (которым безопасно делиться), а затем предлагает вам подписать одноразовый случайный вызов с соответствующим закрытым ключом каждый раз, когда вы хотите войти в систему.
Клиент и сервер никогда не обмениваются паролями, поэтому в памяти (или в сети) нет ничего, что могло бы привести к утечке какой-либо информации о пароле, которая может пригодиться в следующий раз.
Конечно, это означает, что сервер должен быть осторожен с открытыми ключами, которые он принимает в качестве онлайн-идентификаторов, потому что скрытое внедрение мошеннического открытого ключа — это хитрый способ предоставить себе доступ в будущем.
Что делать?
- Не разрешайте вход по SSH только с паролем. Вы можете переключиться на аутентификацию с открытым и закрытым ключом вместо паролей (хорошо для автоматического входа в систему, поскольку нет необходимости в фиксированном пароле) или использовать обычные одинаковые пароли (простая, но эффективная форма 2FA).
- Почаще проверяйте открытые ключи, которые использует ваш SSH-сервер для автоматического входа в систему. Также проверьте конфигурацию своего SSH-сервера на случай, если более ранние злоумышленники незаметно ослабили вашу безопасность, изменив безопасные значения по умолчанию на более слабые альтернативы. Общие приемы включают в себя включение входа в систему root непосредственно на ваш сервер, прослушивание дополнительных TCP-портов или активацию входа только с паролем, который вы обычно не разрешаете.
- Используйте инструменты XDR, чтобы следить за активностью, которую вы не ожидаете. Даже если вы не обнаружите напрямую внедренные вредоносные файлы, такие как Tsunami или XMRig, типичное поведение этих киберугроз часто легко обнаружить, если вы знаете, что искать. Неожиданно высокие всплески сетевого трафика к адресатам, которые вы обычно не видите, например, могут указывать на кражу данных (кражу информации) или преднамеренную попытку выполнить DDoS-атаку. Постоянно высокая загрузка ЦП может указывать на мошеннические попытки криптомайнинга или крипто-взлома, которые потребляют мощность вашего ЦП и, таким образом, потребляют электроэнергию.
Примечания. Продукты Sophos обнаруживают вредоносное ПО, упомянутое выше и указанное как IoC (индикаторы компрометации) исследователями AhnLab, как Linux/Цунами-А, Мал/PerlBot-Aи Linux/Майнер-EQ, если вы хотите проверить свои журналы.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ЭВМ Финанс. Единый интерфейс для децентрализованных финансов. Доступ здесь.
- Квантум Медиа Групп. ИК/PR усиление. Доступ здесь.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Источник: https://nakedsecurity.sophos.com/2023/06/21/beware-bad-passwords-as-attackers-co-opt-linux-servers-into-cybercrime/
- :имеет
- :является
- :нет
- :куда
- $UP
- 1
- 15%
- 25
- 2FA
- a
- в состоянии
- О нас
- выше
- Absolute
- принимающий
- Принимает
- доступ
- Учетная запись
- через
- действия
- активирующий
- активно
- деятельность
- на самом деле
- дополнительный
- против
- Все
- позволять
- в одиночестве
- причислены
- альтернатива
- альтернативы
- an
- и
- любой
- очевидный
- МЫ
- AS
- предположение
- At
- атаковать
- нападки
- внимание
- Аутентификация
- автор
- автоматический
- Автоматизированный
- доступен
- назад
- Back-конец
- задняя дверь
- Черные ходы
- Фоновое изображение
- Плохой
- основанный
- BE
- , так как:
- от имени
- ЛУЧШЕЕ
- между
- берегись
- больший
- Банкноты
- граница
- Дно
- марка
- Новостройка
- бизнес
- но
- by
- под названием
- CAN
- Может получить
- Пропускная способность
- автомобиль
- легковые автомобили
- случаев
- случаев
- осторожный
- Центр
- вызов
- проблемы
- изменения
- проверка
- выбор
- клиент
- код
- Коды
- цвет
- сочетание
- комбинации
- выходит
- совершение
- Общий
- комплекс
- Ослабленный
- компьютеры
- Конфигурация
- связи
- Коммутация
- считается
- потребление
- Контейнеры
- контроль
- соответствующий
- Цена
- может
- "Курс"
- чехол для варгана
- Создайте
- Преступление
- Преступники
- криптовалюта
- Cryptocurrency Mining
- криптографический
- киберпреступности
- киберпреступники
- киберугрозы
- данным
- Дней
- DDoS
- DDoS-атака
- По умолчанию
- по умолчанию
- доставить
- направления
- различный
- непосредственно
- Дисплей
- do
- не
- Dont
- рисование
- драйверы
- упал
- два
- Ранее
- легко
- легко
- есть
- Эффективный
- усилия
- электричество
- позволяет
- конец
- Даже
- НИКОГДА
- Каждая
- пример
- Примеры
- обмен
- эксфильтрации
- существующий
- ожидать
- Объяснять
- дополнительно
- Глаза
- факт
- ложный
- Файлы
- обнаружение
- фиксированной
- Что касается
- форма
- от
- далее
- будущее
- в общем
- получить
- хорошо
- предоставление
- Управляемость
- Есть
- высота
- High
- надежды
- зависать
- HTTPS
- Сотни
- идентификаторы
- if
- нелегальный
- in
- включают
- В том числе
- указывать
- в отдельности
- информация
- Установка
- вместо
- намерения
- интерактивный
- Интернет
- в
- следственный
- приглашать
- вопрос
- IT
- саму трезвость
- JPG
- юрисдикции
- Сохранить
- Основные
- ключи
- Знать
- известный
- Корейский
- новее
- запустили
- Законодательство
- вести
- утечка
- наименее
- Оставлять
- уход
- оставил
- законный
- такое как
- Linux
- Включенный в список
- Listening
- листинг
- Списки
- загрузка
- Войти
- посмотреть
- серия
- сделать
- Создание
- вредоносных программ
- Маржа
- макс-ширина
- Май..
- означает
- означает,
- Память
- упомянутый
- Горнодобывающая промышленность
- режим
- деньги
- контролируемый
- БОЛЕЕ
- двигаться
- много
- имя
- а именно
- Необходимость
- потребности
- сеть
- сетевой трафик
- Новые
- следующий
- нет
- "обычные"
- нормально
- отметил,
- ничего
- of
- .
- on
- ONE
- онлайн
- только
- открытый
- or
- Другое
- в противном случае
- внешний
- Результаты
- за
- собственный
- часть
- Стороны
- Пароль
- пароли
- Пол
- ОПЛАТИТЬ
- Выполнять
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- должность
- Блог
- мощностью
- предсказуемый
- частная
- Секретный ключ
- обработка
- Продукция
- FitPartner™
- что такое варган?
- публичный ключ
- открытые ключи
- случайный
- Цена снижена
- понимается
- регулярный
- относительный
- помнить
- репутация
- Запросы
- требуется
- исследователи
- Полезные ресурсы
- Итоги
- обзоре
- правую
- Дорога
- корень
- Run
- безопасный
- то же
- сообщили
- безопасный
- безопасность
- посмотреть
- видя
- казаться
- смысл
- послать
- Серверы
- обслуживание
- Услуги
- набор
- установка
- Поделиться
- Оболочка
- подпись
- просто
- просто
- Подлый
- So
- твердый
- некоторые
- Спотовая торговля
- стоит
- Начало
- По-прежнему
- украли
- магазины
- такие
- SVG
- Коммутатор
- Тестирование
- чем
- который
- Ассоциация
- их
- Их
- тогда
- Там.
- Эти
- они
- вещи
- В третьих
- третье лицо
- этой
- тысячи
- три
- Через
- время
- в
- Сегодняшних
- слишком
- инструментом
- Инструментарий
- инструменты
- топ
- трек
- трафик
- переход
- прозрачный
- Цунами
- типичный
- типично
- под
- Неожиданный
- развязали
- URL
- годный к употреблению
- использование
- используемый
- Информация о пользователе
- пользователей
- через
- с помощью
- жертвы
- Войти
- хотеть
- Путь..
- ЧТО Ж
- Что
- когда
- когда бы ни
- который
- КТО
- ширина
- будете
- Работа
- бы
- XDR
- Ты
- ВАШЕ
- себя
- зефирнет