技術支援
文件
登錄
聯繫我們
Tsunami DDoS殭屍網路瞄準的Linux SSH伺服器
奧班拉·奧佩耶米
實施期間: 2023年7月7 日 - TuxCare專家團隊
AhnLab安全應急回應中心(ASEC)的研究人員發現了一項正在進行的駭客活動,旨在將Tsunami DDoS殭屍網路(通常稱為Kaiten)安裝在安全性較差的Linux SSH伺服器上。
海嘯是一種強大的DDoS武器,可用於對各種目標發動災難性攻擊。它是免費提供的,允許威脅行為者構建自己的殭屍網路。殭屍網路主要通過暴力攻擊傳播,攻擊者猜測SSH伺服器的使用者名和密碼組合,直到發現匹配項。
在伺服器洩露后,攻擊者利用命令使用Bash腳本等工具下載和運行惡意軟體,以獲得對易受攻擊的電腦的控制。通過創建後門SSH帳戶並生成新的SSH密鑰,即使重置了使用者密碼,攻擊者也會嘗試保持訪問許可權。
攻擊者還使用ShellBot等惡意軟體遠端操縱受影響的計算機,並使用XMRig CoinMiner劫持伺服器並使用其資源挖掘門羅幣。他們還利用日誌清理器刪除系統日誌,從而更難監控其活動。
本次活動中使用的海嘯機器人變體是被稱為Ziggy的Kaiten變體。它通過寫入名為“/etc/rc.local”的文件來隱藏自己,使其難以識別。它還將進程的名稱更改為“ [kworker/0:0]” 以適應其他進程。它採用DDoS策略,如SYN,ACK,UDP和洪水。它還包括允許攻擊者獲取系統資訊、執行shell命令、構建反向shell、更新自身、下載其他有效負載甚至停止自身活動的指令。
為了減少成為此類攻擊受害者的可能性,Linux 使用者應使用強帳戶密碼,或者為了進一步提高安全性,請使用 SSH 密鑰進行身份驗證。ASEC進一步建議防止通過SSH進行root登錄,限制允許訪問伺服器的IP位址範圍,並將預設SSH埠更改為不太可預測的數位,以阻止自動機器人和感染腳本。
這篇文章的來源包括 BleepingComputer上的一篇文章。
