このマルウェアがどのように Linux を攻撃し、自分を守れないか

常に言われてきました リナックス ウイルスが存在せず、他の代替手段よりもはるかに安全であること。 Windows またはmacOS。 ただし、このシステムがライバルに比べてプラスのセキュリティを提供することは事実ですが、多くの人が誇る要塞ではありません. また、直接影響を与える可能性のあるウイルスだけでなく、プログラムやプロトコルを直接攻撃するリモート マルウェアが原因で、私たちには何もできません。 そして、これが新しいものです RapperBot が行います。

RapperBot は、今年 XNUMX 月中旬から活動を開始した新しいボットネットです。 このマルウェアは、あらゆる種類の Linux サーバーの SSH プロトコルに対してブルート フォース攻撃を実行することを専門としています。 これにより、コンピューターとの接続を確立してアクセスし、サーバーに保存されているデータにアクセスし、他のコンピューターを検索してネットワーク内を移動できるようにすることを目的としています。

このマルウェアが Linux を攻撃する方法

この新しいマルウェアは、トロイの木馬である Mirai に基づいています。このトロイの木馬は、数年間にわたって数万台の Linux デバイスに感染し、最大のコンピューター ネットワークの XNUMX つを作成して、あらゆる種類のコンピューター攻撃の最高入札者にそれを貸し出しています。 ただし、それに基づいているとはいえ、RapperBot は、ハッカーがその拡張をより制御でき、DDoS 攻撃の実行に重点を置いているのではなく、コンピュータへのリモート接続とネットワーク内の水平移動に重点を置いているという点で多少異なります。 ネット。

ハッカーは、C2 パネルを通じてこのボットネットを制御します。 このようにして、ターゲットを指定し、SSH ユーザーのリストを送信してテストすることができます。ブルート フォースを使用して、どのユーザーが接続を許可するかをテストします。 任意の SSH サーバーに接続できます。 Diffie-Hellmann 鍵交換 768 ビットまたは 2048 ビットのキーと AES128-CTR 暗号化を使用します。

わずか 3,500 か月半で、このマルウェアは XNUMX 以上の IP アドレスをスキャンして攻撃しました。 さらに、これまで以上に生き生きしているように見えます。

これらの攻撃を軽減する方法

ブルート フォース攻撃は、プログラムまたはプロトコルのセキュリティ上の欠陥に依存しないため、魔法のパッチによって突然保護されるとは期待できません。 したがって、この脅威から完全に身を守る方法はありませんが、その影響を軽減し、次の被害者にならないようにする必要があります。

これを行うために、最初の最も明白なことは、 SSH を使用しない場合は、サービスを無効にする必要があります 私たちのLinuxで。 これにより、システムにリモートで接続できなくなりますが、同時に、これらのハッカーの手に落ちないことが保証されます. 自分自身を保護する別の可能な方法は、セキュリティを次のように構成することです。 限られた回数の試行後に接続をブロックする . したがって、たとえば、10 分間で 10 回失敗した後に接続がブロックされた場合、ブルート フォース攻撃は無効になります。

マルウェアの影響を軽減するためのその他のヒントは、既定のユーザーを使用しない、長くてランダムで強力なパスワードを使用する、既定のポートを変更するなどの典型的なものです。