Разкриха мащабна кампания към SSH сървъри
Специалисти от Talos Security (Cisco) са се натъкнали на дейна акция към обществено налични SSH сървъри. Отличително за офанзивите е, че засекат ли машина, принадлежаща на министерството на защитата на Съединени американски щати или Южна Корея, те биват прекъснати.
Talos са кръстили акцията GoScanSSH, поради това, че стратегиите, които се употребяват в нея са написани на Golang, употребява SSH порт и има способността да сканира за уязвими машини в периметъра на към този момент пленените системи. Изследователите по сигурността споделят, че става дума за към момента дейна акция, като до момента са засекли над 70 неповторими зловредни проби и голям брой техни версии. Най-ранните от тях датират от предишното лято. Изглежда, че цел на създателите на офанзивите е заразяването на допустимо по-голям брой системи и организирането им в ботнет за потреблението им в бъдещи офанзиви. Нападателите се пробват да SSH кредитивите в Линукс сървъри, възползвайки се от речник с над 7000 комбинации от потребителско име и пароли. „Веднъж намерили годни кредитиви, които разрешават SSH автентикация, бива основана неповторим вид на GoScanSSH и се изпраща към компрометирания SSH сървър, след което следва и инфектирането на системата“, пишат Talos.
След това, програмата се пробва да откри параметрите на машината и ѝ се назначава неповторим идентификационен номер, изпращайки тази информация към надзорен сървър. Следващият стадий е сканиране за спомагателни уязвими SSH сървъри, изложени на Интернет. Дан Матюс от LastLine разяснява пред Infosecurity-Magazine и за какво зловредната стратегия отхвърля да инфектира системи, принадлежащи на американските и корейските военни. Той допуска, че повода за това може да се крие в ресурсите и експертизата, с които разполагат нормално администриращите този вид системи и мрежи и страха на създателите им да бъдат проследени и активността им прекъсната.
„Най-доброто, което всяка организация може да направи против офанзиви, свързани с потреблението на към този момент употребявани пароли е да задейства някакъв вид мултифакторна авторизация, изключително за услуги, като VPN, SSH сървъри и уеб/клауд основани имейл услуги, които са налични от Интернет“, поучава Матюс.
Talos са кръстили акцията GoScanSSH, поради това, че стратегиите, които се употребяват в нея са написани на Golang, употребява SSH порт и има способността да сканира за уязвими машини в периметъра на към този момент пленените системи. Изследователите по сигурността споделят, че става дума за към момента дейна акция, като до момента са засекли над 70 неповторими зловредни проби и голям брой техни версии. Най-ранните от тях датират от предишното лято. Изглежда, че цел на създателите на офанзивите е заразяването на допустимо по-голям брой системи и организирането им в ботнет за потреблението им в бъдещи офанзиви. Нападателите се пробват да SSH кредитивите в Линукс сървъри, възползвайки се от речник с над 7000 комбинации от потребителско име и пароли. „Веднъж намерили годни кредитиви, които разрешават SSH автентикация, бива основана неповторим вид на GoScanSSH и се изпраща към компрометирания SSH сървър, след което следва и инфектирането на системата“, пишат Talos.
След това, програмата се пробва да откри параметрите на машината и ѝ се назначава неповторим идентификационен номер, изпращайки тази информация към надзорен сървър. Следващият стадий е сканиране за спомагателни уязвими SSH сървъри, изложени на Интернет. Дан Матюс от LastLine разяснява пред Infosecurity-Magazine и за какво зловредната стратегия отхвърля да инфектира системи, принадлежащи на американските и корейските военни. Той допуска, че повода за това може да се крие в ресурсите и експертизата, с които разполагат нормално администриращите този вид системи и мрежи и страха на създателите им да бъдат проследени и активността им прекъсната.
„Най-доброто, което всяка организация може да направи против офанзиви, свързани с потреблението на към този момент употребявани пароли е да задейства някакъв вид мултифакторна авторизация, изключително за услуги, като VPN, SSH сървъри и уеб/клауд основани имейл услуги, които са налични от Интернет“, поучава Матюс.
Източник: kaldata.com
КОМЕНТАРИ