นักวิจัยจากธุรกิจต่อต้านมัลแวร์ของเกาหลี AhnLab ได้แก่ คำเตือน เกี่ยวกับการโจมตีแบบเดิมๆ ที่พวกเขาบอกว่าเห็นบ่อยมากในสมัยนี้ ซึ่งอาชญากรไซเบอร์เดาทางของตนไปยังเซิร์ฟเวอร์เชลล์ Linux และใช้เป็นจุดกระโดดสำหรับการโจมตีเพิ่มเติม ซึ่งมักจะต่อต้านบุคคลที่สามที่ไร้เดียงสา
เพย์โหลดที่ปล่อยออกมาโดยทีมงานของมิจฉาชีพที่ไม่ซับซ้อนนี้ไม่เพียงแต่จะทำให้คุณเสียเงินไปกับบิลค่าไฟฟ้าที่ไม่คาดคิดเท่านั้น แต่ยังทำให้ชื่อเสียงของคุณเสื่อมเสียด้วยการปล่อยให้มือสืบสวนจากเหยื่อปลายน้ำชี้ไปที่คุณและเครือข่ายของคุณ...
…ในลักษณะเดียวกับที่ หากรถของคุณถูกขโมยและนำไปใช้ในการกระทำความผิด คุณสามารถคาดหวังให้ตำรวจมาเยี่ยมเพื่อเชิญคุณให้อธิบายความเกี่ยวข้องที่ชัดเจนของคุณกับอาชญากรรมดังกล่าว
(จริงๆ แล้ว เขตอำนาจศาลบางแห่งมีกฎหมายจราจรที่ทำให้การปลดล็อกรถที่จอดไว้เป็นเรื่องผิดกฎหมาย เพื่อเป็นแนวทางในการกีดกันผู้ขับขี่ไม่ให้ทำสิ่งต่าง ๆ ง่ายเกินไปสำหรับ TWOCers, Joyriders และอาชญากรที่เน้นรถเป็นหลัก)
ปลอดภัยในนามเท่านั้น
ผู้โจมตีเหล่านี้ใช้เคล็ดลับที่ไม่เป็นความลับและไม่ซับซ้อนในการค้นหาเซิร์ฟเวอร์เชลล์ Linux ที่ยอมรับ SSH (การรักษาความปลอดภัยของเชลล์) การเชื่อมต่อผ่านอินเทอร์เน็ต จากนั้นเพียงคาดเดาชื่อผู้ใช้/รหัสผ่านทั่วไปโดยหวังว่าผู้ใช้อย่างน้อยหนึ่งรายจะมีบัญชีที่มีความปลอดภัยต่ำ
แน่นอนว่าเซิร์ฟเวอร์ SSH ที่มีการรักษาความปลอดภัยอย่างดีจะไม่อนุญาตให้ผู้ใช้เข้าสู่ระบบด้วยรหัสผ่านเพียงอย่างเดียว โดยทั่วไปจะยืนยันการรักษาความปลอดภัยการเข้าสู่ระบบแบบอื่นหรือแบบเพิ่มเติมตามคู่คีย์เข้ารหัสหรือรหัส 2FA
แต่เซิร์ฟเวอร์ตั้งค่าอย่างเร่งรีบหรือเปิดตัวในคอนเทนเนอร์ “พร้อมใช้งาน” ที่กำหนดค่าไว้ล่วงหน้า หรือเปิดใช้งานโดยเป็นส่วนหนึ่งของสคริปต์การตั้งค่าที่ใหญ่กว่าและซับซ้อนกว่าสำหรับเครื่องมือแบ็คเอนด์ที่ต้องใช้ SSH อาจเริ่มบริการ SSH ที่ ทำงานอย่างไม่ปลอดภัยตามค่าเริ่มต้น ภายใต้สมมติฐานที่ว่าคุณจะต้องจำไว้ว่าต้องทำให้รัดกุมขึ้นเมื่อคุณย้ายจากโหมดทดสอบไปเป็นโหมดถ่ายทอดสดบนอินเทอร์เน็ต
อันที่จริง นักวิจัยของ Ahn ตั้งข้อสังเกตว่าแม้แต่รายการพจนานุกรมรหัสผ่านก็ยังดูเหมือนว่าจะให้ผลลัพธ์ที่ใช้งานได้สำหรับผู้โจมตีเหล่านี้ โดยแสดงตัวอย่างที่คาดเดาได้ที่เป็นอันตรายซึ่งรวมถึง:
root/abcdefghi root/123@abc weblogic/123 rpcuser/rpcuser ทดสอบ/p@ssw0rd nologin/nologin Hadoop/p@ssw0rd
การรวมกัน nologin/nologin
เป็นการเตือนความจำ (เหมือนกับบัญชีใดๆ ที่มีรหัสผ่าน changeme
) ว่าความตั้งใจที่ดีที่สุดมักจะจบลงด้วยการกระทำที่ถูกลืมหรือผลลัพธ์ที่ไม่ถูกต้อง
ท้ายที่สุดมีบัญชีโทรมา nologin
มีไว้เพื่อการจัดทำเอกสารด้วยตนเอง โดยดึงความสนใจไปที่ความจริงที่ว่ามันไม่สามารถใช้ได้สำหรับการเข้าสู่ระบบแบบโต้ตอบ...
...แต่นั่นก็ไม่มีประโยชน์ (และอาจนำไปสู่ความรู้สึกปลอดภัยที่ผิด ๆ ได้ด้วย) หากปลอดภัยในนามเท่านั้น
ตกลงอะไรต่อไป?
ผู้โจมตีที่ถูกติดตามในกรณีเหล่านี้ดูเหมือนจะชอบอาฟเตอร์เอฟเฟกต์ที่แตกต่างกันอย่างน้อยหนึ่งรายการจากสามรายการ กล่าวคือ:
- ติดตั้งเครื่องมือโจมตี DDoS ที่เรียกว่าสึนามิ DDoS ย่อมาจาก การโจมตีแบบปฏิเสธการให้บริการแบบกระจายซึ่งหมายถึงการโจมตีทางไซเบอร์ที่อาชญากรที่ควบคุมคอมพิวเตอร์ที่ถูกบุกรุกนับพันหรือหลายแสนเครื่อง (และบางครั้งก็มากกว่านั้น) สั่งให้พวกเขาเริ่มรวมกลุ่มกับบริการออนไลน์ของเหยื่อ คำขอที่เสียเวลาได้รับการปรุงแต่งเพื่อให้ดูไร้เดียงสาเมื่อพิจารณาเป็นรายบุคคล แต่เป็นการจงใจกินทรัพยากรเซิร์ฟเวอร์และเครือข่าย เพื่อให้ผู้ใช้ที่ถูกต้องตามกฎหมายไม่สามารถผ่านไปได้
- ติดตั้งชุดเครื่องมือ cryptomining ชื่อ XMRig แม้ว่าโดยทั่วไปแล้วการขุดสกุลเงินดิจิตอลอันธพาลไม่ได้ทำเงินให้กับอาชญากรไซเบอร์มากนัก แต่โดยทั่วไปแล้วผลลัพธ์จะมีสามประการ ประการแรก เซิร์ฟเวอร์ของคุณจบลงด้วยความสามารถในการประมวลผลที่ลดลงสำหรับงานที่ถูกต้องตามกฎหมาย เช่น การจัดการคำขอเข้าสู่ระบบ SSH ประการที่สอง การใช้ไฟฟ้าเพิ่มเติมใดๆ เช่น เนื่องจากการประมวลผลเพิ่มเติมและภาระเครื่องปรับอากาศ จะต้องรับผิดชอบค่าใช้จ่ายของคุณ ประการที่สาม อาชญากร cryptomining มักจะเปิดประตูหลังของตัวเองเพื่อให้พวกเขาสามารถเข้าไปได้ง่ายขึ้นในครั้งต่อไปเพื่อติดตามกิจกรรมของพวกเขา
- ติดตั้งโปรแกรมซอมบี้ชื่อ PerlBot หรือ ShellBot จึงเรียกว่า ปากกระบอกปืน or ซอมบี้ มัลแวร์เป็นวิธีง่ายๆ สำหรับผู้บุกรุกในปัจจุบันในการแก้ไขปัญหา คำสั่งเพิ่มเติม ไปยังเซิร์ฟเวอร์ที่ถูกบุกรุกของคุณเมื่อใดก็ตามที่พวกเขาต้องการ รวมถึงการติดตั้งมัลแวร์เพิ่มเติม ซึ่งมักจะทำในนามของมิจฉาชีพรายอื่นที่จ่าย “ค่าธรรมเนียมการเข้าถึง” เพื่อเรียกใช้โค้ดที่ไม่ได้รับอนุญาตตามที่พวกเขาเลือกบนคอมพิวเตอร์ของคุณ
ตามที่กล่าวไว้ข้างต้น ผู้โจมตีที่สามารถฝังไฟล์ใหม่ตามตัวเลือกของตนเองผ่านการเข้าสู่ระบบ SSH ที่ถูกบุกรุกมักจะปรับแต่งการกำหนดค่า SSH ที่มีอยู่ของคุณเพื่อสร้างการเข้าสู่ระบบ “ปลอดภัย” ใหม่ที่พวกเขาสามารถใช้เป็นประตูหลังได้ในอนาคต
โดยการปรับเปลี่ยนสิ่งที่เรียกว่า กุญแจสาธารณะที่ได้รับอนุญาต ใน .ssh
ไดเรกทอรีของบัญชีที่มีอยู่ (หรือที่เพิ่มใหม่) อาชญากรสามารถเชิญพวกเขากลับมาในภายหลังได้
น่าแปลกที่การเข้าสู่ระบบ SSH ที่ใช้คีย์สาธารณะโดยทั่วไปถือว่าปลอดภัยกว่าการเข้าสู่ระบบด้วยรหัสผ่านแบบเก่ามาก
ในการเข้าสู่ระบบโดยใช้คีย์ เซิร์ฟเวอร์จะจัดเก็บคีย์สาธารณะของคุณ (ซึ่งแชร์ได้อย่างปลอดภัย) จากนั้นจะท้าทายให้คุณลงนามในการท้าทายแบบสุ่มครั้งเดียวด้วยคีย์ส่วนตัวที่เกี่ยวข้องทุกครั้งที่คุณต้องการเข้าสู่ระบบ
ไม่มีการแลกเปลี่ยนรหัสผ่านระหว่างไคลเอนต์และเซิร์ฟเวอร์ ดังนั้นจึงไม่มีสิ่งใดในหน่วยความจำ (หรือส่งผ่านเครือข่าย) ที่อาจทำให้ข้อมูลรหัสผ่านรั่วไหลซึ่งจะเป็นประโยชน์ในครั้งต่อไป
แน่นอนว่า นี่หมายความว่าเซิร์ฟเวอร์จำเป็นต้องระมัดระวังเกี่ยวกับคีย์สาธารณะที่เซิร์ฟเวอร์ยอมรับในฐานะตัวระบุออนไลน์ เนื่องจากการแอบฝังคีย์สาธารณะอันธพาลเป็นวิธีการแอบแฝงในการอนุญาตให้คุณเข้าถึงได้ในอนาคต
จะทำอย่างไร?
- ไม่อนุญาตให้เข้าสู่ระบบ SSH ด้วยรหัสผ่านเท่านั้น คุณสามารถสลับไปใช้การตรวจสอบสิทธิ์คีย์สาธารณะ-ส่วนตัวแทนรหัสผ่าน (เหมาะสำหรับการเข้าสู่ระบบอัตโนมัติ เนื่องจากไม่จำเป็นต้องใช้รหัสผ่านที่ตายตัว) หรือเช่นเดียวกับรหัสผ่านปกติทุกครั้ง (รูปแบบ 2FA ที่เรียบง่ายแต่มีประสิทธิภาพ)
- ตรวจสอบคีย์สาธารณะที่เซิร์ฟเวอร์ SSH ของคุณใช้เป็นประจำสำหรับการเข้าสู่ระบบอัตโนมัติ ตรวจสอบการกำหนดค่าเซิร์ฟเวอร์ SSH ของคุณด้วย ในกรณีที่ผู้โจมตีก่อนหน้านี้แอบทำให้ความปลอดภัยของคุณอ่อนแอลงโดยการเปลี่ยนค่าเริ่มต้นที่ปลอดภัยเป็นทางเลือกที่อ่อนแอกว่า เทคนิคทั่วไป ได้แก่ การเปิดใช้งานการเข้าสู่ระบบรูทโดยตรงไปยังเซิร์ฟเวอร์ของคุณ การฟังพอร์ต TCP เพิ่มเติม หรือการเปิดใช้งานการเข้าสู่ระบบด้วยรหัสผ่านเท่านั้นซึ่งปกติคุณจะไม่อนุญาต
- ใช้เครื่องมือ XDR เพื่อจับตาดูกิจกรรมที่คุณไม่คาดคิด แม้ว่าคุณจะไม่พบไฟล์มัลแวร์ที่ฝังไว้โดยตรง เช่น Tsunami หรือ XMRig แต่พฤติกรรมทั่วไปของภัยคุกคามทางไซเบอร์เหล่านี้มักจะตรวจพบได้ง่ายหากคุณรู้ว่าจะต้องมองหาอะไร ปริมาณการรับส่งข้อมูลเครือข่ายที่สูงอย่างไม่คาดคิดไปยังปลายทางที่คุณปกติจะไม่เคยเห็น เช่น อาจบ่งบอกถึงการขโมยข้อมูล (การขโมยข้อมูล) หรือความพยายามโดยเจตนาที่จะดำเนินการโจมตี DDoS โหลด CPU ที่สูงอย่างต่อเนื่องอาจบ่งบอกถึงความพยายามในการขุด cryptomining หรือการเข้ารหัสลับที่หลอกลวงซึ่งกำลังดูดพลัง CPU ของคุณและกินไฟฟ้าของคุณ
บันทึก. ผลิตภัณฑ์ Sophos ตรวจพบมัลแวร์ที่กล่าวถึงข้างต้น และระบุเป็น IoC (ตัวชี้วัดของการประนีประนอม) โดยนักวิจัยของ AhnLab เช่น Linux/สึนามิ-เอ, Mal/PerlBot-Aและ Linux/Miner-EQหากคุณต้องการตรวจสอบบันทึกของคุณ
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- การเงิน EVM ส่วนต่อประสานแบบครบวงจรสำหรับการเงินแบบกระจายอำนาจ เข้าถึงได้ที่นี่.
- กลุ่มสื่อควอนตัม IR/PR ขยาย เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. ข้อมูลอัจฉริยะ Web3 ขยายความรู้ เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/06/21/beware-bad-passwords-as-attackers-co-opt-linux-servers-into-cybercrime/
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 1
- 15%
- 25
- 2FA
- a
- สามารถ
- เกี่ยวกับเรา
- ข้างบน
- แน่นอน
- ยอมรับ
- ยอมรับ
- เข้า
- ลงชื่อเข้าใช้
- ข้าม
- การปฏิบัติ
- การเปิดใช้งาน
- กิจกรรม
- อยากทำกิจกรรม
- จริง
- เพิ่มเติม
- กับ
- ทั้งหมด
- อนุญาต
- คนเดียว
- ด้วย
- ทางเลือก
- ทางเลือก
- an
- และ
- ใด
- เห็นได้ชัด
- เป็น
- AS
- ข้อสมมติ
- At
- โจมตี
- การโจมตี
- ความสนใจ
- การยืนยันตัวตน
- ผู้เขียน
- รถยนต์
- อัตโนมัติ
- ใช้ได้
- กลับ
- Back-end
- ประตูหลัง
- แบ็ค
- background-image
- ไม่ดี
- ตาม
- BE
- เพราะ
- ตัวแทน
- ที่ดีที่สุด
- ระหว่าง
- ระวัง
- ที่ใหญ่กว่า
- ธนบัตร
- ชายแดน
- ด้านล่าง
- ยี่ห้อ
- แบรนด์นิว
- ธุรกิจ
- แต่
- by
- ที่เรียกว่า
- CAN
- สามารถรับ
- ความจุ
- รถ
- รถยนต์
- กรณี
- กรณี
- ระมัดระวัง
- ศูนย์
- ท้าทาย
- ความท้าทาย
- เปลี่ยนแปลง
- ตรวจสอบ
- ทางเลือก
- ไคลเอนต์
- รหัส
- รหัส
- สี
- การผสมผสาน
- รวม
- มา
- การกระทำ
- ร่วมกัน
- ซับซ้อน
- ที่ถูกบุกรุก
- คอมพิวเตอร์
- องค์ประกอบ
- การเชื่อมต่อ
- การเชื่อมต่อ
- ถือว่า
- การบริโภค
- ภาชนะบรรจุ
- ควบคุม
- ตรงกัน
- ราคา
- ได้
- คอร์ส
- หน้าปก
- สร้าง
- อาชญากรรม
- อาชญากร
- cryptocurrency
- การขุด Cryptocurrency
- การเข้ารหัสลับ
- อาชญากรรม
- อาชญากรไซเบอร์
- ภัยคุกคามทางไซเบอร์
- ข้อมูล
- วัน
- DDoS
- การโจมตีแบบ DDoS
- ค่าเริ่มต้น
- ค่าเริ่มต้น
- ส่งมอบ
- สถานที่ท่องเที่ยว
- ต่าง
- โดยตรง
- แสดง
- do
- ไม่
- Dont
- การวาดภาพ
- ไดรเวอร์
- ปรับตัวลดลง
- สอง
- ก่อน
- อย่างง่ายดาย
- ง่าย
- กิน
- มีประสิทธิภาพ
- ความพยายาม
- กระแสไฟฟ้า
- การเปิดใช้งาน
- ปลาย
- แม้
- เคย
- ทุกๆ
- ตัวอย่าง
- ตัวอย่าง
- แลกเปลี่ยน
- การกรอง
- ที่มีอยู่
- คาดหวัง
- อธิบาย
- พิเศษ
- ตา
- ความจริง
- เท็จ
- ไฟล์
- หา
- การแก้ไข
- สำหรับ
- ฟอร์ม
- ราคาเริ่มต้นที่
- ต่อไป
- อนาคต
- โดยทั่วไป
- ได้รับ
- ดี
- การอนุญาต
- การจัดการ
- มี
- ความสูง
- จุดสูง
- ความหวัง
- โฉบ
- HTTPS
- ร้อย
- ตัวบ่งชี้
- if
- ที่ผิดกฎหมาย
- in
- ประกอบด้วย
- รวมทั้ง
- แสดง
- เป็นรายบุคคล
- ข้อมูล
- การติดตั้ง
- แทน
- ความตั้งใจ
- การโต้ตอบ
- อินเทอร์เน็ต
- เข้าไป
- สืบสวน
- เชิญ
- ปัญหา
- IT
- ตัวเอง
- jpg
- เขตอำนาจศาล
- เก็บ
- คีย์
- กุญแจ
- ทราบ
- ที่รู้จักกัน
- เกาหลี
- ต่อมา
- เปิดตัว
- กฎหมาย
- นำ
- รั่วไหล
- น้อยที่สุด
- ทิ้ง
- การออกจาก
- ซ้าย
- ถูกกฎหมาย
- กดไลก์
- ลินุกซ์
- จดทะเบียน
- การฟัง
- รายการ
- รายการ
- โหลด
- เข้าสู่ระบบ
- ดู
- Lot
- ทำ
- การทำ
- มัลแวร์
- ขอบ
- ความกว้างสูงสุด
- อาจ..
- วิธี
- หมายความว่า
- หน่วยความจำ
- กล่าวถึง
- การทำเหมืองแร่
- โหมด
- เงิน
- การตรวจสอบ
- ข้อมูลเพิ่มเติม
- ย้าย
- มาก
- ชื่อ
- คือ
- จำเป็นต้อง
- ความต้องการ
- เครือข่าย
- การรับส่งข้อมูลเครือข่าย
- ใหม่
- ถัดไป
- ไม่
- ปกติ
- ปกติ
- เด่น
- ไม่มีอะไร
- of
- มักจะ
- on
- ONE
- ออนไลน์
- เพียง
- เปิด
- or
- อื่นๆ
- มิฉะนั้น
- ออก
- ผลลัพธ์
- เกิน
- ของตนเอง
- ส่วนหนึ่ง
- คู่กรณี
- รหัสผ่าน
- รหัสผ่าน
- พอล
- ชำระ
- ดำเนินการ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- ตำแหน่ง
- โพสต์
- อำนาจ
- ทายได้
- ส่วนตัว
- คีย์ส่วนตัว
- การประมวลผล
- ผลิตภัณฑ์
- โครงการ
- สาธารณะ
- คีย์สาธารณะ
- กุญแจสาธารณะ
- สุ่ม
- ลดลง
- หมายถึง
- ปกติ
- ญาติ
- จำ
- ชื่อเสียง
- การร้องขอ
- ต้อง
- นักวิจัย
- แหล่งข้อมูล
- ผลสอบ
- ทบทวน
- ขวา
- ถนน
- ราก
- วิ่ง
- ปลอดภัย
- เดียวกัน
- กล่าว
- ปลอดภัย
- ความปลอดภัย
- เห็น
- เห็น
- ดูเหมือน
- ความรู้สึก
- ส่ง
- เซิร์ฟเวอร์
- บริการ
- บริการ
- ชุด
- การติดตั้ง
- Share
- เปลือก
- ลงชื่อ
- ง่าย
- ง่ายดาย
- ส่อเสียด
- So
- ของแข็ง
- บาง
- จุด
- ยืน
- เริ่มต้น
- ยังคง
- ที่ถูกขโมย
- ร้านค้า
- อย่างเช่น
- SVG
- สวิตซ์
- การทดสอบ
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- ที่สาม
- บุคคลที่สาม
- นี้
- พัน
- สาม
- ตลอด
- เวลา
- ไปยัง
- วันนี้
- เกินไป
- เครื่องมือ
- เครื่องมือ
- เครื่องมือ
- ด้านบน
- ลู่
- การจราจร
- การเปลี่ยนแปลง
- โปร่งใส
- สึนามิ
- ตามแบบฉบับ
- เป็นปกติ
- ภายใต้
- ไม่คาดฝัน
- ปลดปล่อย
- URL
- ใช้ได้
- ใช้
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- การใช้
- ผ่านทาง
- ผู้ที่ตกเป็นเหยื่อ
- เยี่ยมชมร้านค้า
- ต้องการ
- ทาง..
- ดี
- อะไร
- เมื่อ
- เมื่อไรก็ตาม
- ที่
- WHO
- ความกว้าง
- จะ
- กับ
- งาน
- จะ
- XDR
- คุณ
- ของคุณ
- ด้วยตัวคุณเอง
- ลมทะเล