الباحثون في شركة AhnLab الكورية لمكافحة البرامج الضارة تحذير حول هجوم على المدرسة القديمة يقولون إنهم يرونه كثيرًا هذه الأيام ، حيث يخمن مجرمو الإنترنت طريقهم إلى خوادم Linux shell ويستخدمونها كنقاط انطلاق لمزيد من الهجمات ، غالبًا ضد أطراف ثالثة بريئة.

لا يمكن للحمولات التي أطلقها هذا الطاقم من المحتالين غير المتمرسين أن تكلفك المال فقط من خلال فواتير الكهرباء غير المتوقعة ، بل تشوه سمعتك أيضًا من خلال ترك أصابع التحقيق من ضحايا المصب تشير إليك وإلى شبكتك ...

... بنفس الطريقة التي ، إذا سُرقت سيارتك ثم استخدمت في ارتكاب جريمة ، يمكنك أن تتوقع زيارة من رجال الشرطة لدعوتك لشرح علاقتك الظاهرة بالجريمة.

(يوجد في بعض الولايات القضائية قوانين خاصة بالطرق تجعل من غير القانوني ترك السيارات المتوقفة غير مقفلة ، كطريقة لثني السائقين عن جعل الأمور سهلة للغاية بالنسبة لسائقي الطرق السريعة ، وسائقي الطرق والمجرمين الآخرين الذين يركزون على السيارات).

آمن بالاسم فقط

يستخدم هؤلاء المهاجمون الحيلة غير السرية للغاية وغير المعقدة على الإطلاق للعثور على خوادم Linux shell التي تقبل SSH (تأمين شل) عبر الإنترنت ، ثم التخمين ببساطة في مجموعات اسم المستخدم / كلمة المرور الشائعة على أمل أن يكون لدى مستخدم واحد على الأقل حساب ضعيف الأمان.

لن تسمح خوادم SSH المؤمنة جيدًا للمستخدمين بتسجيل الدخول باستخدام كلمات المرور وحدها ، بالطبع ، عادةً عن طريق الإصرار على نوع من أمان تسجيل الدخول البديل أو الإضافي المستند إلى أزواج المفاتيح المشفرة أو رموز 2FA.

لكن الخوادم التي يتم إعدادها بسرعة ، أو إطلاقها في حاويات "جاهزة للاستخدام" مُعدة مسبقًا ، أو تم تنشيطها كجزء من برنامج نصي أكبر وأكثر تعقيدًا لأداة خلفية تتطلب في حد ذاتها SSH ، قد تبدأ خدمات SSH التي تعمل بشكل غير آمن افتراضيًا ، في ظل الافتراض الشامل بأنك ستتذكر تشديد الأمور عندما تنتقل من وضع الاختبار إلى وضع البث المباشر على الإنترنت.

في الواقع ، لاحظ باحثو Ahn أنه حتى قوائم قاموس كلمات المرور لا تزال تقدم نتائج قابلة للاستخدام لهؤلاء المهاجمين ، مع سرد أمثلة يمكن التنبؤ بها بشكل خطير تشمل:

root / abcdefghi root / 123 @ abc weblogic / 123 rpcuser / rpcuser test / p @ ssw0rd nologin / nologin Hadoop / p @ ssw0rd

المزيج nologin/nologin هو تذكير (مثل أي حساب بكلمة المرور changeme) أن النوايا الحسنة غالبًا ما تنتهي بأفعال منسية أو نتائج غير صحيحة.

بعد كل شيء ، دعا حساب nologin من المفترض أن يكون توثيقًا ذاتيًا ، مع لفت الانتباه إلى حقيقة أنه غير متاح لعمليات تسجيل الدخول التفاعلية ...

... لكن هذا لا فائدة (وقد يؤدي إلى إحساس زائف بالأمان) إذا كان آمنًا بالاسم فقط.

ما الذي تم إسقاطه بعد ذلك؟

يبدو أن المهاجمين الذين تم رصدهم في هذه الحالات يفضلون واحدًا أو أكثر من ثلاثة تأثيرات لاحقة مختلفة ، وهي:

• قم بتثبيت أداة هجوم DDoS المعروفة باسم Tsunami. DDoS تعني هجوم رفض الخدمة الموزع، وهو ما يشير إلى هجوم الجريمة السيبرانية حيث يقوم المحتالون الذين يتحكمون في آلاف أو مئات الآلاف من أجهزة الكمبيوتر المخترقة (وأحيانًا أكثر من ذلك) بأمرهم بالبدء في الانضمام إلى خدمة الضحية عبر الإنترنت. يتم إعداد طلبات إضاعة الوقت بحيث تبدو بريئة عند النظر إليها بشكل فردي ، ولكنها تلتهم عمدًا موارد الخادم والشبكة بحيث لا يتمكن المستخدمون الشرعيون من الوصول إليها.
• قم بتثبيت مجموعة أدوات تشفير تسمى XMRig. حتى إذا كان تعدين العملات المشفرة المارقة لا يدر عادةً على المجرمين الإلكترونيين الكثير من المال ، فهناك عادةً ثلاث نتائج. أولاً ، ينتهي الأمر بخوادمك بقدرة معالجة منخفضة للعمل المشروع ، مثل التعامل مع طلبات تسجيل الدخول عبر SSH ؛ ثانيًا ، أي استهلاك إضافي للكهرباء ، على سبيل المثال بسبب المعالجة الإضافية وحمل تكييف الهواء ، يأتي على نفقتك الخاصة ؛ ثالثًا ، غالبًا ما يفتح محتالو التشفير أبوابهم الخلفية الخاصة بهم حتى يتمكنوا من الدخول بسهولة أكبر في المرة القادمة لتتبع أنشطتهم.
• قم بتثبيت برنامج زومبي يسمى PerlBot أو ShellBot. ما يسمى بوت or الاموات الاحياء تعد البرامج الضارة طريقة بسيطة يستخدمها الدخلاء اليوم لإصدارها أوامر أخرى إلى خوادمك المخترقة وقتما تشاء ، بما في ذلك تثبيت برامج ضارة إضافية ، غالبًا نيابة عن محتالين آخرين يدفعون "رسوم وصول" لتشغيل تعليمات برمجية غير مصرح بها من اختيارهم على أجهزة الكمبيوتر الخاصة بك.

كما ذكرنا أعلاه ، غالبًا ما يقوم المهاجمون القادرين على غرس ملفات جديدة من اختيارهم عبر عمليات تسجيل دخول SSH المخترقة بتعديل تكوين SSH الحالي لإنشاء تسجيل دخول "آمن" جديد تمامًا يمكنهم استخدامه كباب خلفي في المستقبل.

عن طريق تعديل ما يسمى ب المفاتيح العمومية المصرح بها في ال .ssh دليل لحساب موجود (أو مضاف حديثًا) ، يمكن للمجرمين دعوة مجرمين سرًا للعودة مرة أخرى لاحقًا.

ومن المفارقات أن تسجيل الدخول عبر SSH المستند إلى المفتاح العام يعتبر بشكل عام أكثر أمانًا من تسجيل الدخول المستند إلى كلمة مرور المدرسة القديمة.

في عمليات تسجيل الدخول القائمة على المفاتيح ، يخزن الخادم مفتاحك العام (وهو آمن للمشاركة) ، ثم يتحداك أن توقع تحديًا عشوائيًا لمرة واحدة باستخدام المفتاح الخاص المقابل في كل مرة تريد تسجيل الدخول.

لا يتم تبادل أي كلمات مرور على الإطلاق بين العميل والخادم ، لذلك لا يوجد شيء في الذاكرة (أو يتم إرساله عبر الشبكة) يمكن أن يؤدي إلى تسريب أي معلومات كلمة مرور قد تكون مفيدة في المرة القادمة.

بالطبع ، هذا يعني أن الخادم يحتاج إلى توخي الحذر بشأن المفاتيح العامة التي يقبلها كمعرفات عبر الإنترنت ، لأن زرع مفتاح عام مخادع هو طريقة مخادعة لمنح نفسك حق الوصول في المستقبل.

ماذا ستفعلين.. إذًا؟

• لا تسمح بتسجيل الدخول عبر SSH بكلمة مرور فقط. يمكنك التبديل إلى مصادقة المفتاح العام والخاص بدلاً من كلمات المرور (جيدة لعمليات تسجيل الدخول التلقائية ، لأنه لا توجد حاجة لكلمة مرور ثابتة) ، أو أيضًا كلمات المرور العادية نفسها في كل مرة (نموذج بسيط ولكنه فعال من 2FA).
• قم بمراجعة المفاتيح العامة التي يعتمد عليها خادم SSH بشكل متكرر لتسجيل الدخول الآلي. راجع تكوين خادم SSH أيضًا ، في حالة ما إذا كان المهاجمون السابقون قد أضعفوا بشكل تسلسلي أمنك عن طريق تغيير الإعدادات الافتراضية الآمنة إلى بدائل أضعف. تتضمن الحيل الشائعة تمكين تسجيلات الدخول الجذر مباشرة إلى الخادم الخاص بك ، أو الاستماع إلى منافذ TCP الإضافية ، أو تنشيط عمليات تسجيل الدخول بكلمة المرور فقط التي لا تسمح بها عادةً.
• استخدم أدوات XDR لمراقبة النشاط الذي لا تتوقعه. حتى إذا لم تكتشف بشكل مباشر ملفات البرامج الضارة المزروعة مثل Tsunami أو XMRig ، فمن السهل غالبًا اكتشاف السلوك المعتاد لهذه التهديدات الإلكترونية إذا كنت تعرف ما الذي تبحث عنه. قد تشير التدفقات الكبيرة غير المتوقعة لحركة مرور الشبكة إلى وجهات لا تراها عادةً ، على سبيل المثال ، إلى استخراج البيانات (سرقة المعلومات) أو محاولة متعمدة لتنفيذ هجوم DDoS. يمكن أن يشير الحمل المرتفع باستمرار على وحدة المعالجة المركزية إلى جهود التعدين المارقة أو التكسير المشفر التي تستهلك طاقة وحدة المعالجة المركزية لديك وبالتالي تستهلك الكهرباء.

الملاحظات. تكتشف منتجات Sophos البرامج الضارة المذكورة أعلاه ، والمدرجة على أنها IoCs (مؤشرات التسوية) من قبل باحثي AhnLab ، مثل لينكس / تسونامي- أ, مال / بيرلبوت أو لينكس / مينر- EQ، إذا كنت تريد التحقق من سجلاتك.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
• المصدر https://nakedsecurity.sophos.com/2023/06/21/beware-bad-passwords-as-attackers-co-opt-linux-servers-into-cybercrime/