Novinky od CISCO TALOS - Nová rodina malware odhalená

Roman Harák

Service Renewals Account Manager

roman.harak@alef.com

Možno ste už zabudli na Vaše predvolené mená a heslá, ale GoScanSSH nie.

Špecialisti tímu Cisco Talos identifikovali novú rodinu malvéru určenej ku kompromitovaniu SSH serverov vystavených na internete. Tento malvér, ktorý dostal pomenovanie GoScanSSH bol napísaný pomocou programovacieho jazyka GO a má niekoľko veľmi zaujímavých vlastností. V tomto konkrétnom prípade bolo zistené, že útočníci použili unikátny kód pre každý zasiahnutý cieľ. Navyše, GoScanSSH command and control (C2) infraštruktúra využíva službu Tor2Web v snahe sťažiť vystopovanie a identifikáciu útočníka.

Komunikácia medzi infikovaným systémom a infraštruktúrou útočníka je zabezpečená prostredníctvom AES šifrovania s náhodne generovanými kľúčami. Kľúče su taktiež šifrované pomocou RSA asymetrického šifrovania.  Verejný kľúč RSA sa nachádza priamo v kóde malvéru.  Šifrovaná komunikácia je prenášaná pomocou HTTP GET dotazov a pre overenie využíva SHA256 hash.  Samotné dáta sú v JSON formáte a využívajú kódovanie base64.

Malvér pracuje s nasledovnými užívateľskými menami:

  • admin
  • guest
  • oracle
  • osmc
  • pi
  • root
  • test
  • ubnt
  • ubuntu
  • user

Malvér nahraný na serveri následne očakáva inštrukcie od riadiaceho C2 servera na doménach:

  •  hXXp://5z5zt3qzyp6j4bda[.]onion[.]link
  • hXXp://5z5zt3qzyp6j4bda[.]onion[.]to
  • hXXp://3xjj3i6rv3bdxd6p[.]onion[.]link
  • hXXp://3xjj3i6rv3bdxd6p[.]onion[.]to
  • hXXp://b4l7gbnyduslzhq4[.]onion[.]link
  • hXXp://b4l7gbnyduslzhq4[.]onion[.]to

Priebeh infekcie:

1/ Počiatočný útočný vektor ktorý využíva GoScanSSH, je brute-force útok na verejne dostupné SSH servery ktoré umožňovali autentifikáciu na základe kombinácie prístupového mena a hesla.

2/ V tejto konkrétnej sérii útokov útočník využíval zoznam slov obsahujúci viac ako 7 000 kombinácií používateľov a hesiel.

3/ Akonáhle útočník objavil platnú prístupovú kombináciu mena a hesla, ktorá umožňuje úspešné overenie SSH, vytvoril sa jedinečný binárny kód malvéru GoScanSSH a nahral sa na kompromitovaný SSH server. Malvér sa následne spustí, čím sa infikuje systém.

4/ Bolo zistené, že kombinácie používateľského mena a hesla používané týmto škodlivým softvérom sa zameriavajú na slabé alebo predvolené kombinácie mena a hesla v celej rade zariadení založených na systéme Linux.

Použitím nástroja Cisco Umbrella Investigate určeného k analýze DNS požiadaviek, Cisco Talos identifikoval rapídne zvýšenie DNS požiadaviek na uvedené C2 servery.

 Skenovanie zraniteľných SSH serverov: 
Jednou z hlavných funkcií, ktoré malvér GoScanSSH vykonáva, je skenovanie a identifikácia ďalších zraniteľných SSH serverov vystavených na internete, ktoré môžu útočníci ďalej ohroziť. Tento proces sa vykonáva náhodným generovaním IP adresy, vyhýbajúc sa adresám so špecifickým účelom, takže malvér sa vyhýba útokom na rozsah IP adries vládnych a vojenských inštitúcií.

Záver:

  • Tieto útoky dokazujú, že servery vystavené internetu sú v neustálom ohrození pred útočníkmi.
  • Organizácie by mali využívať osvedčené postupy, aby zabezpečili, že servery, ktoré môžu do internetu vystaviť, zostanú chránené pred týmito útokmi.
  • Malo by byť zabezpečené, aby predvolené heslá boli pred nasadením čo najskôr zmenené a aby boli tieto systémy nepretržite monitorované, pokiaľ ide o pokusy o ich kompromitovanie.
  • Cisco Talos pokračuje v monitorovaní a sledovaní tohto útoku, ako aj v iných krajinách, aby zabezpečil, že zákazníci využívajúci technológiu Cisco zostanú pred touto hrozbou ochránení.

Ako sa chrániť pred podobnými hrozbami?

SKÚSTE SI DEMO:

Cisco Meraki

*Meraki MX – dokáže detekovať aktivity malvéru GoScanSSH.

CISCO UMBRELLA

*(SIG – Secure internet gateway), blokuje prístup užívateľov k doménam a IP adresám so škodlivým obsahom, bez ohľadu na to, či sa užívateľ nachádza vo firemnej sieti alebo mimo nej.

CISCO NGFW

* NGFW (Next Generation Firewall)