Hackers atacam Servidores Linux SSH

Hackers atacam Servidores Linux SSH para implantar malware de escaneamento.

Os hackers geralmente têm como alvo os servidores Linux SSH devido ao seu uso generalizado na hospedagem de serviços críticos, e as seguintes lacunas os tornam vulneráveis, proporcionando oportunidades aos hackers para acesso não autorizado e exploração potencial:-

  • Senhas fracas
  • Vulnerabilidades não corrigidas
  • Configurações incorretas

Pesquisadores de segurança cibernética do AhnLab Security Emergency Response Center (ASEC) identificaram recentemente que hackers atacam ativamente os servidores Linux SSH para implantar malware de escaneamento.

Análise Técnica

Os agentes de ameaças têm como alvo servidores mal gerenciados, buscando credenciais IP e SSH para malware DDoS e CoinMiner. A varredura de IP identifica portas SSH ativas, seguidas por ataques de força bruta. Mais CoinMiners significam aumento na mineração de criptomoedas. 

Os ataques DDoS crescem em poder com bots mais controlados e, para instalar mais malware, os atores precisam de informações de alvo além de DDoS e CoinMiners, verificações de malware e ataques a sistemas vulneráveis. 

Enquanto isso, bots DDoS de malware de escaneamento SSH e CoinMiners podem ser instalados. Além disso, alguns atores instalam scanners, vendendo informações violadas na dark web.

Abaixo, mencionamos todos os malwares comuns instalados em ataques contra servidores Linux SSH mal gerenciados: –

  • ShellBot
  • Tsunami
  • Bot DDoS ChinaZ
  • XMRig CoinMiner
  • Mirai
  • Gafgyt
  • XorDDoS

Os agentes de ameaças implantam malware em servidores Linux após fazer login com credenciais SSH roubadas.

Classificação de malware direcionado a servidores Linux SSH
Classificação de malware direcionado a servidores SSH Linux (Fonte – ASEC )

O agente da ameaça verifica sistemas SSH ativos (porta 22) usando credenciais roubadas para instalação de malware. 

O comando CPU core check confirma o login bem-sucedido. O ator baixa um arquivo compactado com um scanner de porta e uma ferramenta de ataque SSH. Comandos notáveis ​​incluem: –

  • cd /ev/rede
  • unem 0a

O ator de ameaça executa o script “go” para varredura de portas, captura de banners e ataques de dicionário SSH. Os scripts “gob” e “rand” permitem a personalização da classe IP. 

Os resultados são salvos em “bios.txt” e os banners em “banner.log”. A ferramenta “prg” extrai IPs com “SSH-2.0-OpenSSH” de “bios.txt” para usar em ataques de dicionário, e os logins bem-sucedidos são armazenados em “ssh_vuln”. 

Além disso, o total de núcleos da CPU é verificado usando “grep -c ^processor /proc/cpuinfo”. Após escanear e obter credenciais, o ator repete o processo e instala as mesmas ferramentas.

Recomendações

Para salvaguardar a segurança cibernética, os pesquisadores recomendaram as seguintes mitigações:-

  • Sempre use forte
  • Senhas alteradas regularmente
  • Atualizar patches
  • Empregue firewalls
  • Tenha cuidado com versões de segurança atualizadas como V3
Fonte: GBHackers

Veja também:

Sobre mindsecblog 2473 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

10 Trackbacks / Pingbacks

  1. Hackers do Bem, você pode se profissionalizar do zero, sem custos! | Minuto da Segurança da Informação
  2. Presidente Lula assinou decreto que institui a Política Nacional de Cibersegurança | Minuto da Segurança da Informação
  3. Malware bancário Carbanak ressurge com novas táticas de ransomware | Minuto da Segurança da Informação
  4. LGPD impulsiona serviços de SOC – Security Operations Center | Minuto da Segurança da Informação
  5. Cuidado ao navegar pelas águas perigosas dos ataques de criptophishing | Minuto da Segurança da Informação
  6. +400 mil malware foram descobertos por dia em 2023 | Minuto da Segurança da Informação
  7. O advento da cibersegurança: 5 marcos na história da ciência da computação | Minuto da Segurança da Informação
  8. 10 dicas para proteger seus dados de forma eficaz | Minuto da Segurança da Informação
  9. Previsões Proofpoint para 2024: Prepare-se para o impacto | Minuto da Segurança da Informação
  10. Privacidade é um dos principais riscos organizacionais | Minuto da Segurança da Informação

Deixe sua opinião!