Un actor de amenazas desconocido está aplicando fuerza bruta a los servidores SSH de Linux para instalar una amplia gama de malware, incluido el bot Tsunami DDoS (denegación de servicio distribuida), ShellBot, limpiadores de registros, herramientas de escalada de privilegios y un minero de monedas XMRig (Monero).
SSH (Secure Socket Shell) es un protocolo de comunicación de red encriptado para iniciar sesión en máquinas remotas, admitir túneles, reenvío de puertos TCP, transferencias de archivos, etc.
Los administradores de red generalmente usan SSH para administrar dispositivos Linux de forma remota, realizando tareas como ejecutar comandos, cambiar la configuración, actualizar software y solucionar problemas.
Sin embargo, si esos servidores no están seguros, pueden ser vulnerables a los ataques de fuerza bruta , lo que permite a los actores de amenazas probar muchas combinaciones potenciales de nombre de usuario y contraseña hasta que se encuentra una coincidencia.
Tsunami en el servidor SSH
AhnLab Security Emergency Response Center ( ASEC ) descubrió recientemente una campaña de este tipo, que pirateó servidores Linux para lanzar ataques DDoS y minar la criptomoneda Monero.
Los atacantes escanearon Internet en busca de servidores Linux SSH expuestos públicamente y luego forzaron pares de nombre de usuario y contraseña para iniciar sesión en el servidor.
Credenciales probadas en el ataque observado (ASEC)
Una vez que establecieron un punto de apoyo en el servidor como usuario administrador, ejecutaron el siguiente comando para buscar y ejecutar una colección de malware a través de un script Bash.
Comando ejecutado en servidores recientemente violados (ASEC)
ASEC observó que los intrusos también generaron un nuevo par de claves SSH públicas y privadas para que el servidor violado mantuviera el acceso incluso si se cambiaba la contraseña del usuario.
El malware descargado en hosts comprometidos incluye botnets DDoS, limpiadores de registros, mineros de criptomonedas y herramientas de escalada de privilegios.
Comenzando con ShellBot , este bot DDoS basado en Pearl utiliza el protocolo IRC para la comunicación. Admite escaneo de puertos, UDP, TCP y ataques de inundación HTTP y también puede configurar un shell inverso.
El otro malware de botnet DDoS visto en estos ataques es Tsunami , que también utiliza el protocolo IRC para la comunicación.
La versión particular vista por ASEC es "Ziggy", una variante de Kaiten. Tsunami persiste entre reinicios al escribirse en "/etc/rc.local" y usa nombres de procesos de sistema típicos para ocultarse.
Código fuente de la botnet Tsunami (ASEC)
Además de los ataques DDoS SYN, ACK, UDP y de inundación aleatoria, Tsunami también admite un amplio conjunto de comandos de control remoto, incluida la ejecución de comandos de shell, shells inversos, recopilación de información del sistema, actualización y descarga de cargas útiles adicionales desde una fuente externa.
Lista completa de comandos soportados por Tsunami (ASEC)
Luego están MIG Logcleaner v2.0 y Shadow Log Cleaner , ambas herramientas utilizadas para borrar la evidencia de intrusión en computadoras comprometidas, lo que hace que sea menos probable que las víctimas se den cuenta de la infección rápidamente.
Estas herramientas admiten argumentos de comando específicos que permiten a los operadores eliminar registros, modificar registros existentes o agregar nuevos registros al sistema.
El malware de escalada de privilegios utilizado en estos ataques es un archivo ELF (formato ejecutable y enlazable) que eleva los privilegios del atacante a los de un usuario raíz.
Finalmente, los actores de amenazas activan un minero de monedas XMRig para secuestrar los recursos computacionales del servidor para extraer Monero en un grupo específico.
Para defenderse de estos ataques, los usuarios de Linux deben usar contraseñas de cuenta seguras o, para mayor seguridad, requerir claves SSH para iniciar sesión en el servidor SSH.
Además, deshabilite el inicio de sesión raíz a través de SSH, limite el rango de direcciones IP permitidas para acceder al servidor y cambie el puerto SSH predeterminado a algo atípico que los bots automatizados y los scripts de infección no detectarán.
