Hoe deze malware Linux aanvalt, en je kunt jezelf niet beschermen

Dat is altijd gezegd Linux een onkwetsbaar systeem was, dat er geen virussen waren en dat het veel veiliger is dan andere alternatieven, zoals: Ramen of macOS. Hoewel het waar is dat dit systeem ons een pluspunt van veiligheid biedt in vergelijking met zijn rivalen, is het verre van het bolwerk waar velen op bogen. En niet alleen vanwege virussen die het direct kunnen beïnvloeden, maar ook vanwege malware op afstand, die programma's of protocollen direct aanvalt, waartegen we niets kunnen doen. En dit is wat de nieuwe RapperBot wel.

RapperBot is een nieuw botnet dat sinds half juni van dit jaar in gebruik is. Deze malware is gespecialiseerd in het uitvoeren van brute force-aanvallen op het SSH-protocol van alle typen Linux-servers. Hiermee beoogt het een verbinding met de computer tot stand te brengen, er toegang toe te krijgen en zowel toegang te krijgen tot de gegevens die op de server zijn opgeslagen als om over het netwerk te bewegen op zoek naar andere computers.

Hoe deze malware Linux aanvalt

Deze nieuwe malware is gebaseerd op Mirai, een trojan die al een paar jaar tienduizenden Linux-apparaten infecteert om een ​​van de grootste computernetwerken te creëren om het te verhuren aan de hoogste bieder voor allerlei computeraanvallen. Hoewel RapperBot erop gebaseerd is, is het enigszins anders omdat hackers meer controle hebben over de uitbreiding ervan en het zich niet richt op het uitvoeren van DDoS-aanvallen, maar op externe verbinding met computers en zijwaartse beweging binnen een netwerk. netto.

Hackers besturen dit botnet via een C2-paneel. Op deze manier kunnen ze doelen aangeven en lijsten van SSH-gebruikers sturen om te testen, met brute kracht, welke de verbinding toestaat. Het kan verbinding maken met elke SSH-server met: Diffie-Hellmann sleuteluitwisseling met 768-bits of 2048-bits sleutels en AES128-CTR-codering.

In slechts anderhalve maand heeft deze malware meer dan 3,500 IP-adressen gescand en aangevallen. En het lijkt bovendien levendiger dan ooit.

Hoe deze aanvallen te verminderen?

Brute force-aanvallen zijn niet afhankelijk van een beveiligingsfout in een programma of protocol, dus we kunnen niet verwachten dat een magische patch ons plotseling beschermt. Daarom is er geen manier om onszelf volledig tegen deze dreiging te beschermen, maar wat we moeten doen is de impact ervan verkleinen en voorkomen dat we het volgende slachtoffer worden.

Om dit te doen, is het eerste en meest voor de hand liggende ding dat, als we geen SSH gebruiken, moeten we de service deactiveren op onze Linux. Dit voorkomt dat we op afstand verbinding kunnen maken met het systeem, maar garandeert tegelijkertijd dat we niet in de klauwen van deze hackers vallen. Een andere mogelijke manier om onszelf te beschermen is om de beveiliging te configureren om: verbindingen blokkeren na een beperkt aantal pogingen . Als verbindingen bijvoorbeeld worden geblokkeerd na 10 mislukte pogingen gedurende 10 minuten, worden brute force-aanvallen niet meer effectief.

Andere tips om de impact van malware te verminderen zijn de typische, zoals het niet gebruiken van standaardgebruikers, het gebruik van lange, willekeurige en sterke wachtwoorden en het wijzigen van de standaardpoort.