 |
Un actor de amenazas desconocido está realizando ataques de fuerza bruta a servidores Linux SSH para instalar una amplia gama de malware, incluyendo el bot Tsunami DDoS (denegación de servicio distribuido), ShellBot, limpiadores de registros, herramientas de escalada de privilegios y un minero de la criptomoneda XMRig (Monero). SSH (Secure Socket Shell) es un protocolo de comunicación de red cifrada utilizado para iniciar sesión en máquinas remotas, permitiendo el túnel, reenvío de puertos TCP, transferencia de archivos, etc. |
Sin embargo, si esos servidores tienen una seguridad deficiente, podrían ser vulnerables a ataques de fuerza bruta, lo que permite a los actores de amenazas probar múltiples combinaciones potenciales de nombres de usuario y contraseñas hasta encontrar una coincidencia.
Tsunami en el servidor SSH
Recientemente, el Centro de Respuesta de Emergencia de Seguridad de AhnLab (ASEC) descubrió una campaña de este tipo, en la que se pirateaban servidores Linux para lanzar ataques DDoS y minar la criptomoneda Monero.
Los atacantes escaneaban Internet en busca de servidores Linux SSH expuestos públicamente y luego intentaban fuerza bruta para iniciar sesión en el servidor con pares de nombre de usuario y contraseña.
Credenciales probadas en el ataque observado (ASEC)
Una vez que obtuvieron acceso como usuario administrador en el servidor, ejecutaron el siguiente comando para obtener y ejecutar una colección de malware a través de un script de Bash.
Comando ejecutado en servidores vulnerados (ASEC)
ASEC observó que los intrusos también generaban un nuevo par de claves SSH públicas y privadas para el servidor comprometido, lo que les permitía mantener el acceso incluso si se cambiaba la contraseña del usuario.
El malware descargado en los equipos comprometidos incluye botnets de DDoS, limpiadores de registros, mineros de criptomonedas y herramientas de escalada de privilegios.
Comenzando con ShellBot, este bot de DDoS basado en Perl utiliza el protocolo IRC para la comunicación. Admite escaneo de puertos y ataques de inundación UDP, TCP y HTTP, y también puede establecer un shell inverso.
El otro malware de botnet de DDoS visto en estos ataques es Tsunami, que también utiliza el protocolo IRC para la comunicación.
La versión particular vista por ASEC es "Ziggy", una variante de Kaiten. Tsunami se mantiene entre reinicios escribiéndose en "/etc/rc.local" y utiliza nombres de procesos del sistema típicos para ocultarse.
Código fuente de la red de bots Tsunami (ASEC)
Además de los ataques de inundación SYN, ACK, UDP y aleatorios, Tsunami también admite un amplio conjunto de comandos de control remoto, que incluyen ejecución de comandos de shell, shells inversos, recopilación de información del sistema, actualización y descarga de cargas adicionales desde una fuente externa.
Lista completa de comandos compatibles con Tsunami (ASEC)
A continuación, encontramos el limpiador de registros MIG Logcleaner v2.0 y Shadow Log Cleaner, dos herramientas utilizadas para borrar las pruebas de intrusión en las computadoras comprometidas, lo que hace menos probable que las víctimas se den cuenta de la infección rápidamente.
Estas herramientas admiten argumentos de comando específicos que permiten a los operadores eliminar registros, modificar registros existentes o agregar nuevos registros al sistema.
Añadiendo un evento de inicio de sesión falso en el servidor (ASEC)
El malware de escalada de privilegios utilizado en estos ataques es un archivo en formato ELF (Executable and Linkable Format) que eleva los privilegios del atacante al de un usuario root.
Por último, los actores de amenazas activan un minero de la criptomoneda XMRig para aprovechar los recursos computacionales del servidor y minar Monero en un grupo especificado.
Para defenderse de estos ataques, los usuarios de Linux deben utilizar contraseñas de cuenta fuertes o, para una mayor seguridad, requerir claves SSH para iniciar sesión en el servidor SSH.
Además, se recomienda desactivar el inicio de sesión de root a través de SSH, limitar el rango de direcciones IP permitidas para acceder al servidor y cambiar el puerto SSH predeterminado a algo atípico que los bots automatizados y los scripts de infección puedan pasar por alto.