Bilgisayar Korsanları Linux SSH Sunucularına Saldırıyor DDoS bot cShell Screen ve hping3 Araçlarını Kullanma

AhnLab Güvenlik İstihbarat Merkezi (ASEC), zayıf korunan Linux SSH sunucularını hedef alan yeni bir kötü amaçlı yazılım türü tespit etti.

“cShell” adı verilen bu kötü amaçlı yazılım, aşağıdaki gibi mevcut Linux araçlarından yararlanıyor: ekran Ve hping3 dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak, sunucu yöneticileri için artan endişeyi vurgulamaktadır.

İlk Saldırı Vektörü

ASEC’in izleme çabaları, saldırganların yetkisiz erişim elde etmek için kaba kuvvet teknikleri kullanarak, zayıf kimlik bilgilerine sahip, halka açık SSH hizmetlerini taradığını ortaya çıkardı.

– Reklamcılık –

Saldırganlar içeri girdikten sonra kötü amaçlı yazılımı apt, yum veya diğerleri gibi paket yöneticilerini kullanarak yükler. cShell, /etc/de/cARM dizinine kurulur ve kalıcılık, bir yapılandırma dosyası (sshell.service) kullanılarak bir sistem hizmetinin kaydedilmesiyle sağlanır.

API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt

Kurulum sırasındaki hata mesajları genellikle Almanca olup, bölgesel bir ilişkilendirme veya yanlış yönlendirme taktiğini akla getirir.

Linux Yardımcı Programlarının Kullanımı: hping3 ve screen

Geleneksel DDoS kötü amaçlı yazılımlarının aksine cShell, saldırıları gerçekleştirmek için meşru Linux yardımcı programlarından yararlanır ve tespit edilmesini zorlaştırır. Kullanılan araçlar şunları içerir:

1. ekran

ekran yardımcı program, arka planda çalışabilen birden fazla terminal oturumunu yönetmek için kullanılır. cShell bunu yürütmek için kullanır hping3 “eşzamanlı” etiketli bir süreç altındaki komutlar. Başlangıç ​​rutininde cShell, aşağıdaki komutu kullanarak screen ve hping3’ü yükler:

# bash -c apt -y install curl && apt -y install hping3 && apt -y install screen

2. hping3

hping3 TCP, UDP ve ICMP paketleri oluşturabilen bir ağ test aracıdır. Saldırganlar, özelleştirilmiş paket akışları hazırlayarak DDoS saldırılarını gerçekleştirmek için cShell’i kullanıyor. cShell, hping3’ü arka planda aşağıdaki komutu kullanarak “eşzamanlı” adı altında çalıştırır:

# screen -dms concurrent timeout  hping3 

Kötü amaçlı yazılım, SYN, ACK ve UDP Flood’lar da dahil olmak üzere çeşitli DDoS komutlarını destekler. Örnek bir komut şöyledir:

hping3 -FXYAP -d  -p  –flood 

cShell İşlevselliği ve Komut Desteği

Go’da yazılan cShell, ilk geliştirme aşamalarında gibi görünüyor (“Test.go” gibi dosya adlarıyla da kanıtlanmıştır). Kötü amaçlı yazılım, talimatları almak için bir komuta ve kontrol (C&C) sunucusuyla iletişim kurar. Desteklenen komutlar öncelikle DDoS saldırılarına odaklanır. Aşağıda bir genel bakış yer almaktadır:

cShell DDoS botunun oluşturduğu riskleri azaltmak için Linux sunucu yöneticilerinin sağlam güvenlik uygulamalarını benimsemesi gerekir.

SSH güvenliğini güçlendirmek çok önemlidir; güçlü, karmaşık şifreler kullanmak, kök oturum açmayı devre dışı bırakmak ve çok faktörlü kimlik doğrulamayı uygulamak, kaba kuvvet saldırılarının olasılığını önemli ölçüde azaltabilir.

Sunucuların düzenli olarak güncellenmesi ve güvenlik yamalarının uygulanması, saldırganların yararlanabileceği bilinen güvenlik açıklarının giderilmesine yardımcı olacaktır.

Yöneticiler ayrıca güvenlik duvarlarını kritik hizmetlere erişimi kısıtlayacak ve yalnızca beyaz listedeki IP adreslerinin bağlanmasına izin verecek şekilde yapılandırmalıdır.

Ayrıca, tekrarlanan başarısız oturum açma girişimleri veya yetkisiz erişim gibi şüpheli etkinliklere karşı sunucu günlüklerinin izlenmesi, saldırıların erken tespit edilmesine yardımcı olabilir.

Son olarak, AhnLab V3 gibi kötü amaçlı yazılımdan koruma çözümlerinin dağıtılması ve bunların sık sık güncellenmesinin sağlanması, bulaşmaların önlenmesine ve kötü amaçlı etkinliklerin proaktif olarak engellenmesine yardımcı olacaktır.

ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin