Hackers atacam Servidores Linux SSH para implantar malware de escaneamento.
Os hackers geralmente têm como alvo os servidores Linux SSH devido ao seu uso generalizado na hospedagem de serviços críticos, e as seguintes lacunas os tornam vulneráveis, proporcionando oportunidades aos hackers para acesso não autorizado e exploração potencial:-
- Senhas fracas
- Vulnerabilidades não corrigidas
- Configurações incorretas
Pesquisadores de segurança cibernética do AhnLab Security Emergency Response Center (ASEC) identificaram recentemente que hackers atacam ativamente os servidores Linux SSH para implantar malware de escaneamento.
Análise Técnica
Os agentes de ameaças têm como alvo servidores mal gerenciados, buscando credenciais IP e SSH para malware DDoS e CoinMiner. A varredura de IP identifica portas SSH ativas, seguidas por ataques de força bruta. Mais CoinMiners significam aumento na mineração de criptomoedas.
Os ataques DDoS crescem em poder com bots mais controlados e, para instalar mais malware, os atores precisam de informações de alvo além de DDoS e CoinMiners, verificações de malware e ataques a sistemas vulneráveis.
Enquanto isso, bots DDoS de malware de escaneamento SSH e CoinMiners podem ser instalados. Além disso, alguns atores instalam scanners, vendendo informações violadas na dark web.
Abaixo, mencionamos todos os malwares comuns instalados em ataques contra servidores Linux SSH mal gerenciados: –
- ShellBot
- Tsunami
- Bot DDoS ChinaZ
- XMRig CoinMiner
- Mirai
- Gafgyt
- XorDDoS
Os agentes de ameaças implantam malware em servidores Linux após fazer login com credenciais SSH roubadas.
Classificação de malware direcionado a servidores SSH Linux (Fonte – ASEC )
O agente da ameaça verifica sistemas SSH ativos (porta 22) usando credenciais roubadas para instalação de malware.
O comando CPU core check confirma o login bem-sucedido. O ator baixa um arquivo compactado com um scanner de porta e uma ferramenta de ataque SSH. Comandos notáveis incluem: –
- cd /ev/rede
- unem 0a
O ator de ameaça executa o script “go” para varredura de portas, captura de banners e ataques de dicionário SSH. Os scripts “gob” e “rand” permitem a personalização da classe IP.
Os resultados são salvos em “bios.txt” e os banners em “banner.log”. A ferramenta “prg” extrai IPs com “SSH-2.0-OpenSSH” de “bios.txt” para usar em ataques de dicionário, e os logins bem-sucedidos são armazenados em “ssh_vuln”.
Além disso, o total de núcleos da CPU é verificado usando “grep -c ^processor /proc/cpuinfo”. Após escanear e obter credenciais, o ator repete o processo e instala as mesmas ferramentas.
Recomendações
Para salvaguardar a segurança cibernética, os pesquisadores recomendaram as seguintes mitigações:-
- Sempre use forte
- Senhas alteradas regularmente
- Atualizar patches
- Empregue firewalls
- Tenha cuidado com versões de segurança atualizadas como V3
Fonte: GBHackers
Veja também:
- Golpes por biometria facial são 93% do total no setor de mobilidade
- Ameaças de cibersegurança mais relevantes no 2º semestre de 2023
- Ameaças cibernéticas não param: 71% das organizações foram vítimas de ransomware
- Siglas de segurança na nuvem decodificadas
- Dispositivos (e ransomware) estão por toda parte
- Botnet de roteador vinculado a violações críticas
- CISA pede que os fabricantes eliminem senhas padrão
- 10 dicas para proteger seus dados de forma eficaz
- Vulnerabilidades recentes em sistemas VMware e Microsoft
- Carregador de malware lidera ranking do Brasil com impacto de 9% às organizações
- Crescem os ataques às APIs e as organizações necessitam aumentar a cibersegurança
- Retrospectiva LGPD. Penalidades Aplicadas em 2023
10 Trackbacks / Pingbacks