Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

Cuidado con las malas contraseñas ya que los atacantes incorporan servidores Linux al ciberdelito

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 52
by Paul patito

Los investigadores de la empresa antimalware coreana AhnLab están advertencia sobre un ataque de la vieja escuela que dicen que están viendo mucho en estos días, donde los ciberdelincuentes adivinan su camino hacia los servidores shell de Linux y los usan como puntos de partida para nuevos ataques, a menudo contra terceros inocentes.

Las cargas útiles desatadas por este equipo de ladrones poco sofisticados no solo podrían costarle dinero a través de facturas de electricidad inesperadas, sino también empañar su reputación al dejar dedos investigativos de víctimas aguas abajo que lo señalan a usted y a su red...

…de la misma manera que, si le roban su automóvil y luego lo utilizan para cometer un delito, puede esperar una visita de la policía para invitarlo a explicar su aparente conexión con el delito.

(Algunas jurisdicciones en realidad tienen leyes viales que hacen que sea ilegal dejar los autos estacionados abiertos, como una forma de disuadir a los conductores de hacer las cosas demasiado fáciles para los TWOCers, los joyriders y otros delincuentes centrados en los autos).

Seguro solo de nombre

Estos atacantes están utilizando el truco no muy secreto y nada complicado de encontrar servidores shell de Linux que acepten SSH (Secure Shell) a través de Internet, y luego simplemente adivinar las combinaciones comunes de nombre de usuario/contraseña con la esperanza de que al menos un usuario tenga una cuenta mal protegida.

Los servidores SSH bien protegidos no permitirán que los usuarios inicien sesión solo con contraseñas, por supuesto, por lo general insistiendo en algún tipo de seguridad de inicio de sesión alternativa o adicional basada en pares de claves criptográficas o códigos 2FA.

Pero los servidores configurados con prisa, o lanzados en contenedores preconfigurados "listos para usar", o activados como parte de un script de configuración más grande y complejo para una herramienta de back-end que requiere SSH, pueden iniciar servicios SSH que funcionan de manera insegura de forma predeterminada, bajo la suposición general de que recordará ajustar las cosas cuando pase del modo de prueba al modo en vivo en Internet.

De hecho, los investigadores de Ahn notaron que incluso las listas de diccionarios de contraseñas parecen ofrecer resultados utilizables para estos atacantes, enumerando ejemplos peligrosamente predecibles que incluyen:

root/abcdefghi root/123@abc weblogic/123 rpcuser/rpcuser test/p@ssw0rd nologin/nologin Hadoop/p@ssw0rd

La combinación nologin/nologin es un recordatorio (como cualquier cuenta con la contraseña changeme) que las mejores intenciones a menudo terminan en acciones olvidadas o resultados incorrectos.

Después de todo, una cuenta llamada nologin está destinado a ser autodocumentado, llamando la atención sobre el hecho de que no está disponible para inicios de sesión interactivos...

…pero eso no sirve de nada (e incluso puede dar lugar a una falsa sensación de seguridad) si es seguro solo de nombre.

¿Qué se cae después?

Los atacantes monitoreados en estos casos parecen favorecer uno o más de tres efectos secundarios diferentes, a saber:

  • Instale una herramienta de ataque DDoS conocida como Tsunami. DDoS significa ataque de denegación de servicio distribuido, que se refiere a una avalancha de delitos cibernéticos en la que delincuentes con control sobre miles o cientos de miles de computadoras comprometidas (ya veces más que eso) les ordenan que comiencen a atacar el servicio en línea de una víctima. Las solicitudes que hacen perder el tiempo se inventan para que parezcan inocentes cuando se consideran individualmente, pero consumen deliberadamente los recursos del servidor y de la red para que los usuarios legítimos simplemente no puedan comunicarse.
  • Instale un kit de herramientas de criptominería llamado XMRig. Incluso si la minería de criptomonedas deshonestas generalmente no genera mucho dinero para los ciberdelincuentes, generalmente hay tres resultados. En primer lugar, sus servidores terminan con una capacidad de procesamiento reducida para trabajos legítimos, como el manejo de solicitudes de inicio de sesión SSH; en segundo lugar, cualquier consumo de electricidad adicional, por ejemplo debido a una carga adicional de procesamiento y aire acondicionado, corre a su cargo; en tercer lugar, los delincuentes de criptominería a menudo abren sus propias puertas traseras para que puedan ingresar más fácilmente la próxima vez para realizar un seguimiento de sus actividades.
  • Instale un programa zombie llamado PerlBot o ShellBot. Así llamado bot or zombi el malware es una forma sencilla para que los intrusos de hoy emitan más comandos a sus servidores comprometidos cuando lo deseen, incluida la instalación de malware adicional, a menudo en nombre de otros delincuentes que pagan una "tarifa de acceso" para ejecutar el código no autorizado de su elección en sus computadoras.

Como se mencionó anteriormente, los atacantes que pueden implantar nuevos archivos de su propia elección a través de inicios de sesión SSH comprometidos a menudo también modifican su configuración SSH existente para crear un nuevo inicio de sesión "seguro" que pueden usar como puerta trasera en el futuro.

Al modificar el llamado claves públicas autorizadas existentes .ssh directorio de una cuenta existente (o recién agregada), los delincuentes pueden invitarse a sí mismos en secreto más tarde.

Irónicamente, el inicio de sesión SSH basado en clave pública generalmente se considera mucho más seguro que el inicio de sesión basado en contraseña de la vieja escuela.

En los inicios de sesión basados ​​en claves, el servidor almacena su clave pública (que es segura de compartir) y luego lo desafía a firmar un desafío aleatorio único con la clave privada correspondiente cada vez que desea iniciar sesión.

Nunca se intercambian contraseñas entre el cliente y el servidor, por lo que no hay nada en la memoria (o enviado a través de la red) que pueda filtrar información de contraseña que sería útil la próxima vez.

Por supuesto, esto significa que el servidor debe ser cauteloso con las claves públicas que acepta como identificadores en línea, porque implantar furtivamente una clave pública no autorizada es una forma furtiva de otorgarse acceso en el futuro.

¿Qué hacer?

  • No permita inicios de sesión SSH solo con contraseña. Puede cambiar a la autenticación de clave pública-privada en lugar de contraseñas (bueno para inicios de sesión automáticos, porque no hay necesidad de una contraseña fija), o también a las contraseñas regulares iguales (una forma simple pero efectiva de 2FA).
  • Revise con frecuencia las claves públicas en las que se basa su servidor SSH para los inicios de sesión automatizados. Revise también la configuración de su servidor SSH, en caso de que los atacantes anteriores hayan debilitado furtivamente su seguridad al cambiar los valores predeterminados seguros a alternativas más débiles. Los trucos comunes incluyen habilitar los inicios de sesión de raíz directamente en su servidor, escuchar en puertos TCP adicionales o activar inicios de sesión solo con contraseña que normalmente no permitiría.
  • Use las herramientas XDR para estar atento a la actividad que no esperaría. Incluso si no detecta directamente los archivos de malware implantados, como Tsunami o XMRig, el comportamiento típico de estas ciberamenazas suele ser fácil de detectar si sabe qué buscar. Ráfagas inesperadamente altas de tráfico de red a destinos que normalmente no vería, por ejemplo, podrían indicar una filtración de datos (robo de información) o un intento deliberado de realizar un ataque DDoS. Una carga de CPU constantemente alta podría indicar esfuerzos de criptominería o criptocraqueo deshonestos que están absorbiendo la potencia de su CPU y, por lo tanto, consumiendo su electricidad.

Nota. Los productos de Sophos detectan el malware mencionado anteriormente y se enumeran como IoC (indicadores de compromiso) por los investigadores de AhnLab, como Linux/Tsunami-A, Mal/PerlBot-Ay Linux/Miner-EQ, si desea consultar sus registros.

punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.