Bilgisayar korsanları, kritik hizmetleri barındırmada yaygın kullanımları nedeniyle sıklıkla Linux SSH sunucularını hedef alır ve aşağıdaki boşluklar onları savunmasız hale getirerek bilgisayar korsanlarına yetkisiz erişim ve potansiyel istismar fırsatları sunar: –
- Zayıf şifreler
- Düzeltme eki uygulanmamış güvenlik açıkları
- Yanlış yapılandırmalar
AhnLab Güvenlik Acil Durum Müdahale Merkezi’ndeki (ASEC) siber güvenlik araştırmacıları, yakın zamanda bilgisayar korsanlarının tarayıcı kötü amaçlı yazılımlarını dağıtmak için Linux SSH sunucularına aktif olarak saldırdığını tespit etti.
Teknik Analiz
Tehdit aktörleri, kötü yönetilen sunucuları hedef alarak DDoS ve CoinMiner kötü amaçlı yazılımları için IP ve SSH kimlik bilgilerini arar. IP taraması, aktif SSH bağlantı noktalarını tanımlar ve ardından kaba kuvvet saldırıları yapılır. Daha fazla CoinMiner, kripto para birimi madenciliğinin artması anlamına gelir.
DDoS saldırıları daha kontrollü botlarla güçleniyor ve daha fazla kötü amaçlı yazılım yüklemek için aktörlerin DDoS ve CoinMiners’ın yanı sıra hedef bilgilere, kötü amaçlı yazılım taramalarına ve savunmasız sistemlere saldırılara ihtiyacı var.
Bu arada, SSH tarayıcı kötü amaçlı yazılımı DDoS botları ve CoinMiners yüklenebilir. Bunun yanı sıra, bazı aktörler tarayıcılar kurarak ihlal edilen bilgileri karanlık ağda satıyor.
Aşağıda, kötü yönetilen Linux SSH sunucularına yapılan saldırılarda kurulan tüm yaygın kötü amaçlı yazılımlardan bahsettik: –
- ShellBot
- Tsunami
- ChinaZ DDoS Botu
- XMRig CoinMiner
- Miray
- Gaffyt
- XorDDoS
Tehdit aktörleri, çalıntı SSH kimlik bilgileriyle oturum açtıktan sonra Linux sunucularına kötü amaçlı yazılım dağıtıyor.
Tehdit aktörü, kötü amaçlı yazılım yüklemek için çalınan kimlik bilgilerini kullanan aktif SSH (bağlantı noktası 22) sistemlerini tarar.
CPU çekirdek kontrolü komutu, başarılı oturum açma işlemini onaylar. Aktör, bağlantı noktası tarayıcısı ve SSH saldırı aracıyla sıkıştırılmış bir dosya indirir. Önemli komutlar şunları içerir: –
Tehdit aktörü, bağlantı noktası tarama, banner kapma ve SSH sözlüğü saldırıları için “go” komut dosyasını çalıştırır. “gob” ve “rand” komut dosyaları IP sınıfının özelleştirilmesine olanak tanır.
Sonuçlar “bios.txt” dosyasına, banner’lar ise “banner.log” dosyasına kaydedilir. “Prg” aracı, sözlük saldırılarında kullanılmak üzere “bios.txt” dosyasından “SSH-2.0-OpenSSH” içeren IP’leri çıkarır ve başarılı oturum açma işlemleri “ssh_vuln” dosyasında saklanır.
Bunun yanı sıra toplam CPU çekirdekleri “grep -c ^processor /proc/cpuinfo” kullanılarak kontrol edilir. Kimlik bilgilerini tarayıp aldıktan sonra aktör işlemi tekrarlar ve aynı araçları yükler.
Öneriler
Siber güvenliği korumak için araştırmacılar aşağıdaki azaltıcı önlemleri önerdi: –
- Her zaman güçlü kullan
- Düzenli olarak değiştirilen şifreler
- Yamaları güncelle
- Güvenlik duvarlarını kullanın
- V3 gibi güncellenmiş güvenlik sürümlerine dikkat edin