作者:左右里
編輯:釉子
據BitDefender安全研究人員稱,他們發現了一個黑客組織正在以SSH暴力破解的方式攻擊linux設備,目的是在這些設備上安裝門羅幣惡意挖礦軟件。
SSH,一種為遠程登錄會話和其他網絡服務提供安全性的協議。
BitDefender早在5月就針對這個組織的加密劫持活動展開調查,并發現了對方的工具包。他們在一個開放目錄順利追蹤到了惡意軟件,并發現其自2021年2月起被相關域名 mexalz.us托管過。
以下是當前或以前托管在mexalz.us上的文件匯總:
這個暴力破解工具包被其制作者稱為“Diicot brute”,以Golang編寫,以單個包開發,包含以下功能:
黑客是如何利用該工具包進行攻擊的呢?
整個過程可以分為三個階段:
- 偵察:通過端口掃描和橫幅抓取識別SSH服務器。
- 憑據訪問:通過暴力識別有效憑據。
- 初始訪問:通過SSH連接并進行感染。
攻擊者發現并進入弱SSH憑據的Linux設備后,他們會部署并執行loader從而收集系統信息,并使用HTTP POST將其轉發給webhook的攻擊者。黑客將在此步驟收集到的信息用于判斷被攻擊設備的利用價值。
攻擊者的另一步操作是更改shell配置、覆寫文件。
黑客通過bash禁用了幾個shell命令,目的是使shell不被后來者操作。至此,黑客已成功安裝門羅幣惡意挖礦軟件。
據悉,這個工具目前仍有效。據BitDefender稱,已查明的IP地址屬于一個相對較小的集合,說明本次事件的黑客組織尚未使用受攻擊的系統來傳播惡意軟件。
那么該如何防止SSH 暴力破解呢?
1、足夠復雜的密碼
2、修改默認端口號
3、不允許Root賬號直接登陸
4、不允許密碼登陸,只能通過認證的秘鑰來登陸系統
5、借助第三方工具fail2ban防御
以上方法便是防止SSH暴力破解的一些措施,可供大家參考哦~
