Ваш SSH-сервер может стать участником массовых DDoS-атак и добычи криптовалюты.
Неизвестные злоумышленники атакуют плохо защищенные Linux-серверы с SSH и заставляют их участвовать в DDoS-атаках, а также добывать криптовалюту в фоновом режиме. Для этого хакеры используют ботнет Tsunami, также известный как Kaiten, который часто распространяется вместе с вредоносными программами Mirai и Gafgyt . Кампанию обнаружили специалисты AhnLab.
Ботнет Tsunami отличается от других ботнетов тем, что он функционирует как IRC-бот, то есть он использует IRC для общения со злоумышленником. Исходный код Tsunami является общедоступным, поэтому он используется множеством киберпреступников. Среди различных применений Tsunami, ботнет чаще всего используется в атаках против IoT-устройств, а также в атаках на Linux-серверы.
Атакующие проводят атаку по словарю, чтобы войти в Linux-серверы с SSH и установить на них:
Среди установленных вредоносных программ, файл «key» является Bash-скриптом, который загружает дополнительные вредоносные программы. Помимо того, что файл является загрузчиком, он также выполняет различные задачи для получения контроля над зараженными системами, включая установку SSH-аккаунта с бэкдором.
Оба бота Tsunami и ShellBot используют протокол IRC для передачи украденной информации на сервер управления и контроля (C2) и получения от сервера инструкций. Log Cleaner, вероятно, устанавливается для скрытия злонамеренной активности и затруднения будущих попыток расследования нарушения. XMRig устанавливается для добычи криптовалюты.
Предотвращение атаки
Предотвратить такой тип атаки несложно. Для этого администраторам следует:
В случае компрометации Linux-системы администраторам следует использовать индикаторы компрометации (IoC), которые предоставляют специалисты по безопасности, чтобы удалить вредоносные программы и злонамеренные скрипты из системы.
В обнаруженных атаках злоумышленники также создают SSH бэкдор-аккаунт, который служит как запасная мера для сохранения доступа к системе в случае, если администратор изменит пароль своего аккаунта. Аккаунт администратора также следует удалить. Наконец, блокировка трафика вредоносных программ к C2-серверам также имеет жизненно важное значение, чтобы предотвратить утечку данных и доставку команд.
Напомним, что после пандемии COVID-19 количество атак на IoT-устройства выросло на 700%. В течение 15-дневного периода эксперты выявили в общей сложности 18 тыс. уникальных хостов и около 900 уникальных передач полезной нагрузки. Чаще всего встречались заражения семействами вредоносов Gafgyt и Mirai — на них приходилось 97% процентов из 900 полезных нагрузок. Данные семейства позволяют своим операторам перехватывать контроль над устройствами для создания ботнетов. Наиболее часто подвергались атакам IoT-устройства в Ирландии (48%), США (32%) и Китае (14%).
Живой, мертвый или в суперпозиции? Узнайте в нашем канале