Linux SSH-Server im Visier des Tsunami DDoS-Botnetzes
Forscher des AhnLab Security Emergency Response Center (ASEC) haben eine laufende Hacking-Aktivität entdeckt, die darauf abzielt, das Tsunami DDoS-Botnet, allgemein bekannt als Kaiten, auf schlecht gesicherten Linux SSH-Servern zu installieren.
Tsunami ist eine wirksame DDoS-Waffe, die für katastrophale Angriffe auf eine Vielzahl von Zielen eingesetzt werden kann. Sie ist frei verfügbar und ermöglicht es Angreifern, ihre eigenen Botnetze aufzubauen. Das Botnet verbreitet sich hauptsächlich durch Brute-Force-Angriffe, bei denen Angreifer Kombinationen von Benutzernamen und Passwörtern für SSH-Server erraten, bis sie eine Übereinstimmung entdecken.
Nach dem Eindringen in einen Server verwenden die Angreifer einen Befehl zum Herunterladen und Ausführen von Malware-Stämmen mit Tools wie Bash-Skripten, um die Kontrolle über anfällige Computer zu erlangen. Durch die Erstellung eines Backdoor-SSH-Kontos und neuer SSH-Schlüssel versuchen die Angreifer, den Zugang zu behalten, selbst wenn das Benutzerkennwort zurückgesetzt wird.
Die Angreifer verwenden auch Malware wie ShellBot, um die betroffenen Computer aus der Ferne zu manipulieren, und XMRig CoinMiner, um Server zu kapern und mit deren Ressourcen Monero-Münzen zu schürfen. Außerdem verwenden sie Log Cleaner, um Systemprotokolle zu entfernen und so die Überwachung ihrer Aktivitäten zu erschweren.
Die in dieser Kampagne verwendete Tsunami-Bot-Variante ist eine Kaiten-Variante, die als Ziggy bekannt ist. Er verbirgt sich, indem er in eine Datei namens "/etc/rc.local" schreibt, wodurch er schwer zu identifizieren ist. Außerdem ändert er den Namen des Prozesses in "[kworker/0:0]", um sich in die anderen Prozesse einzufügen. Er wendet DDoS-Taktiken wie SYN, ACK, UDP und Floods an. Er enthält auch Anweisungen, die es Angreifern ermöglichen, Systeminformationen zu erhalten, Shell-Befehle auszuführen, Reverse-Shells zu konstruieren, sich selbst zu aktualisieren, zusätzliche Nutzlasten herunterzuladen und sogar seine eigenen Aktivitäten anzuhalten.
Um die Wahrscheinlichkeit, Opfer solcher Angriffe zu werden, zu verringern, sollten Linux-Benutzer sichere Kennwörter für ihre Konten verwenden oder zur weiteren Sicherheit SSH-Schlüssel zur Authentifizierung einsetzen. ASEC rät außerdem, den Root-Login über SSH zu verhindern, den IP-Adressbereich, der für den Zugriff auf den Server zugelassen ist, einzuschränken und den Standard-SSH-Port auf eine weniger vorhersehbare Nummer zu ändern, um automatisierte Bots und Infektionsskripte abzuschrecken.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.