作者:左右里
編輯:釉子
據(jù)BitDefender安全研究人員稱,他們發(fā)現(xiàn)了一個黑客組織正在以SSH暴力破解的方式攻擊linux設(shè)備,目的是在這些設(shè)備上安裝門羅幣惡意挖礦軟件。
SSH,一種為遠(yuǎn)程登錄會話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。
BitDefender早在5月就針對這個組織的加密劫持活動展開調(diào)查,并發(fā)現(xiàn)了對方的工具包。他們在一個開放目錄順利追蹤到了惡意軟件,并發(fā)現(xiàn)其自2021年2月起被相關(guān)域名 mexalz.us托管過。
以下是當(dāng)前或以前托管在mexalz.us上的文件匯總:
這個暴力破解工具包被其制作者稱為“Diicot brute”,以Golang編寫,以單個包開發(fā),包含以下功能:
黑客是如何利用該工具包進(jìn)行攻擊的呢?
整個過程可以分為三個階段:
- 偵察:通過端口掃描和橫幅抓取識別SSH服務(wù)器。
- 憑據(jù)訪問:通過暴力識別有效憑據(jù)。
- 初始訪問:通過SSH連接并進(jìn)行感染。
攻擊者發(fā)現(xiàn)并進(jìn)入弱SSH憑據(jù)的Linux設(shè)備后,他們會部署并執(zhí)行l(wèi)oader從而收集系統(tǒng)信息,并使用HTTP POST將其轉(zhuǎn)發(fā)給webhook的攻擊者。黑客將在此步驟收集到的信息用于判斷被攻擊設(shè)備的利用價值。
攻擊者的另一步操作是更改shell配置、覆寫文件。
黑客通過bash禁用了幾個shell命令,目的是使shell不被后來者操作。至此,黑客已成功安裝門羅幣惡意挖礦軟件。
據(jù)悉,這個工具目前仍有效。據(jù)BitDefender稱,已查明的IP地址屬于一個相對較小的集合,說明本次事件的黑客組織尚未使用受攻擊的系統(tǒng)來傳播惡意軟件。
那么該如何防止SSH 暴力破解呢?
1、足夠復(fù)雜的密碼
2、修改默認(rèn)端口號
3、不允許Root賬號直接登陸
4、不允許密碼登陸,只能通過認(rèn)證的秘鑰來登陸系統(tǒng)
5、借助第三方工具fail2ban防御
以上方法便是防止SSH暴力破解的一些措施,可供大家參考哦~
