Un acteur de menace inconnu force brutalement les serveurs Linux SSH à installer un large éventail de logiciels malveillants, notamment le bot Tsunami DDoS (déni de service distribué), ShellBot, des nettoyeurs de journaux, des outils d’escalade de privilèges et un mineur de pièces XMRig (Monero).
SSH (Secure Socket Shell) est un protocole de communication réseau crypté pour se connecter à des machines distantes, prenant en charge le tunneling, le transfert de port TCP, les transferts de fichiers, etc.
Les administrateurs réseau utilisent généralement SSH pour gérer les périphériques Linux à distance, en effectuant des tâches telles que l’exécution de commandes, la modification de la configuration, la mise à jour du logiciel et le dépannage des problèmes.
Cependant, si ces serveurs ne sont pas sécurisés, ils peuvent être vulnérables aux attaques par force brute, ce qui permet aux pirates d’essayer de nombreuses combinaisons potentielles de nom d’utilisateur et de mot de passe jusqu’à ce qu’une correspondance soit trouvée.
Tsunami sur le serveur SSH
AhnLab Security Emergency Response Center (ASEC) a récemment découvert une campagne de ce type, qui a piraté des serveurs Linux pour lancer des attaques DDoS et exploiter la crypto-monnaie Monero.
Les attaquants ont scanné Internet à la recherche de serveurs Linux SSH exposés au public, puis ont forcé brutalement des paires nom d’utilisateur-mot de passe pour se connecter au serveur.
Une fois qu’ils ont pris pied sur le point de terminaison en tant qu’utilisateur administrateur, ils ont exécuté la commande suivante pour récupérer et exécuter une collection de logiciels malveillants via un script Bash.
L’ASEC a observé que les intrus ont également généré une nouvelle paire de clés SSH publiques et privées pour le serveur piraté afin de maintenir l’accès même si le mot de passe de l’utilisateur a été modifié.
Les logiciels malveillants téléchargés sur des hôtes compromis comprennent des botnets DDoS, des nettoyeurs de journaux, des mineurs de crypto-monnaie et des outils d’escalade de privilèges.
À partir de ShellBot, ce bot DDoS basé sur Pearl utilise le protocole IRC pour la communication. Il prend en charge l’analyse des ports, les attaques par inondation UDP, TCP et HTTP et peut également configurer un shell inversé.
L’autre malware botnet DDoS observé dans ces attaques est Tsunami, qui utilise également le protocole IRC pour la communication.
La version particulière vue par l’ASEC est « Ziggy », une variante de Kaiten. Tsunami persiste entre les redémarrages en s’écrivant sur « /etc/rc.local » et utilise des noms de processus système typiques pour se cacher.
Outre les attaques SYN, ACK, UDP et DDoS par inondation aléatoire, Tsunami prend également en charge un ensemble complet de commandes de contrôle à distance, y compris l’exécution de commandes shell, les shells inversés, la collecte d’informations système, la mise à jour et le téléchargement de charges utiles supplémentaires à partir d’une source externe.
Viennent ensuite MIG Logcleaner v2.0 et Shadow Log Cleaner, deux outils utilisés pour effacer les preuves d’intrusion sur les ordinateurs compromis, ce qui réduit la probabilité que les victimes réalisent rapidement l’infection.
Ces outils prennent en charge des arguments de commande spécifiques qui permettent aux opérateurs de supprimer des journaux, de modifier des journaux existants ou d’ajouter de nouveaux journaux au système.
Le logiciel malveillant d’escalade de privilèges utilisé dans ces attaques est un fichier ELF (Executable and Linkable Format) qui élève les privilèges de l’attaquant à ceux d’un utilisateur root.
Enfin, les acteurs de la menace activent un mineur de pièces XMRig pour détourner les ressources de calcul du serveur afin d’exploiter Monero sur un pool spécifié.
Pour se défendre contre ces attaques, les utilisateurs Linux doivent utiliser des mots de passe de compte forts ou, pour une meilleure sécurité, exiger des clés SSH pour se connecter au serveur SSH.
De plus, désactivez la connexion root via SSH, limitez la plage d’adresses IP autorisées à accéder au serveur et modifiez le port SSH par défaut en quelque chose d’atypique qui manquera aux robots automatisés et aux scripts d’infection.