Noul Malware DDoS cShell vizează serverele SSH
Sursă: https://cybersecuritynews.com
A fost descoperită o nouă variantă de malware DDoS, denumită cShell, ce vizează serverele SSH Linux administrate necorespunzător (screen și hping3).
Malware-ul exploatează credențialele SSH necorespunzătoare și utilizează instrumentele Linux pentru a executa atacuri DDoS sofisticate.
Această evoluție evidențiază amenințarea tot mai mare reprezentată de persoane rău intenționate ce exploatează sistemele securizate necorespunzător.
Specialiștii în securitate au semnalat că atacatorii scanează serviciile SSH expuse public și utilizează tehnici de tip brute force pentru a obține acces.
Odată pătrunși în rețea, aceștia folosesc comenzi pentru a instala instrumente precum curl și o variantă malware denumită cARM.
În funcție de distribuția Linux, instalarea se realizează utilizând administratori de pachete precum apt, yum sau apk.
Programul malware se instalează în directorul /etc/de/cARM și utilizează un fișier de configurare numit sshell.service pentru a se înregistra ca serviciu persistent prin intermediul comenzii systemctl. Acest lucru asigură faptul că malware-ul rămâne activ chiar și după repornirea sistemului.
Spre deosebire de boții DDoS obișnuiți, cShell se bazează pe utilitarele Linux existente screen și hping3 pentru a-și executa atacurile:
- Screen: un utilitar pentru gestionarea mai multor sesiuni de terminale, care permite executarea task-urilor în fundal chiar dacă terminalul este închis. cShell îl utilizează pentru a executa comenzi sub numele de sesiune concurrent.
- Hping3: un instrument de generare și analiză a pachetelor utilizat pentru diagnosticarea rețelei. cShell exploatează capacitatea acestuia de a trimite pachete TCP, UDP și ICMP pentru diverse tipuri de atacuri DDoS.
Conform specialiștilor, șase instrucțiuni DDoS sunt integrate în cShell, care a fost creat folosind limbajul de programare Go și include o funcție de actualizare. Acesta primește instrucțiuni prin interacțiunea cu un server de comandă și control (C&C).
De asemenea, malware-ul se conectează la mai multe adrese URL Pastebin în timpul procesului de actualizare pentru a descărca cea mai recentă versiune a sa folosind curl. Această redundanță asigură continuarea funcționării chiar dacă unele servere C&C sunt dezactivate.
Prin implementarea unor măsuri stricte de securitate, administratorii pot reduce riscurile și își pot proteja infrastructura de exploatare.
Sursă: https://cybersecuritynews.com/ddos-malware-cshell-exploit-linux-tools-to-attack-ssh-servers/
