Um ator de ameaças desconhecido está realizando ataques de força bruta em servidores Linux SSH para instalar uma ampla variedade de malwares, incluindo o bot Tsunami DDoS (ataque distribuído de negação de serviço), ShellBot, limpadores de log, ferramentas de escalonamento de privilégios e um minerador de moedas XMRig (Monero).
SSH (Secure Socket Shell) é um protocolo de comunicação de rede criptografado para fazer login em máquinas remotas, suportando túneis, encaminhamento de porta TCP, transferência de arquivos, etc.
Normalmente, os administradores de rede usam SSH para gerenciar dispositivos Linux remotamente, realizando tarefas como executar comandos, alterar a configuração, atualizar o software e solucionar problemas.
No entanto, se esses servidores estiverem mal protegidos, podem ser vulneráveis a ataques de força bruta, permitindo que atores de ameaças experimentem muitas combinações potenciais de nome de usuário e senha até encontrar uma correspondência.
O Centro de Resposta de Emergência de Segurança da AhnLab (ASEC) descobriu recentemente uma campanha desse tipo, que invadiu servidores Linux para lançar ataques DDoS e minerar criptomoedas Monero.
Os atacantes escanearam a Internet em busca de servidores Linux SSH publicamente expostos e, em seguida, forçaram pares de nome de usuário e senha para fazer login no servidor.
Depois de estabelecerem uma posição de acesso no endpoint como usuário administrador, eles executaram o seguinte comando para buscar e executar uma coleção de malwares por meio de um script Bash.
A ASEC observou que os invasores também geraram um novo par de chaves SSH pública e privada para o servidor invadido para manter o acesso mesmo que a senha do usuário fosse alterada.
O malware baixado em hosts comprometidos inclui botnets DDoS, limpadores de log, mineradores de criptomoedas e ferramentas de escalonamento de privilégios.
Começando com o ShellBot, esse bot DDoS baseado em Perl utiliza o protocolo IRC para comunicação.
Ele suporta varreduras de porta, ataques de inundação UDP, TCP e HTTP e também pode configurar um shell reverso.
O outro malware de botnet DDoS visto nesses ataques é o Tsunami, que também usa o protocolo IRC para comunicação.
A versão específica vista pela ASEC é "Ziggy", uma variante Kaiten.
O Tsunami persiste entre reinicializações escrevendo-se em "/etc/rc.local" e usa nomes típicos de processos do sistema para se esconder.
Além dos ataques DDoS SYN, ACK, UDP e inundação aleatória, o Tsunami também suporta um extenso conjunto de comandos de controle remoto, incluindo execução de comando de shell, shells reversos, coleta de informações do sistema, atualização e download de payloads adicionais de uma fonte externa.
Em seguida, estão o MIG Logcleaner v2.0 e o Shadow Log Cleaner, ambas ferramentas usadas para apagar a evidência de intrusão em computadores comprometidos, tornando menos provável que as vítimas percebam a infecção rapidamente.
Essas ferramentas suportam argumentos de comando específicos que permitem que os operadores excluam logs, modifiquem logs existentes ou adicionem novos logs ao sistema.
O malware de escalonamento de privilégios usado nesses ataques é um arquivo ELF (Formato Executável e Linkável) que eleva os privilégios do atacante para os de um usuário root.
Por fim, os atores de ameaças ativam um minerador de moedas XMRig para sequestrar os recursos computacionais do servidor para minerar Monero em uma piscina especificada.
Para se defender contra esses ataques, os usuários do Linux devem usar senhas de conta fortes ou, para uma segurança melhor, exigir chaves SSH para fazer login no servidor SSH.
Além disso, desative o login root por SSH, limite o intervalo de endereços IP permitidos para acessar o servidor e altere a porta SSH padrão para algo atípico que bots automatizados e scripts de infecção perderão.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...