Det har alltid blitt sagt Linux var et usårbart system, at det ikke fantes virus, og at det er mye tryggere enn andre alternativer, som f.eks. Windows eller macOS. Men selv om det er sant at dette systemet gir oss et pluss av sikkerhet sammenlignet med sine rivaler, er det langt fra å være den høyborg som mange kan skryte av. Og ikke bare på grunn av virus som kan påvirke det direkte, men også på grunn av ekstern malware, som direkte angriper programmer eller protokoller, som vi ikke kan gjøre noe mot. Og dette er det nye RapperBot gjør det.
RapperBot er et nytt botnett som har vært i drift siden midten av juni i år. Denne skadevare spesialiserer seg på å utføre brute force-angrep på SSH-protokollen til alle typer Linux-servere. Med dette tar den sikte på å etablere en forbindelse med datamaskinen, få tilgang til den og kunne både få tilgang til dataene som er lagret på serveren og bevege seg rundt i nettverket på jakt etter andre datamaskiner.
Denne nye skadevare er basert på Mirai, en trojaner som har infisert titusenvis av Linux-enheter i noen år for å lage et av de største datanettverkene for å leie det ut til høystbydende for alle typer dataangrep. Men selv om RapperBot er basert på det, er det noe annerledes ved at hackere har mer kontroll over utvidelsen, og den søker ikke å fokusere på å utføre DDoS-angrep, men på ekstern tilkobling til datamaskiner og sideveis bevegelse i et nettverk. nett.
Hackere kontrollerer dette botnettet gjennom et C2-panel. På denne måten kan de indikere mål, og sende lister over SSH-brukere for å teste, med brute force, hvilken som tillater tilkoblingen. Den er i stand til å koble til hvilken som helst SSH-server med Diffie-Hellmann nøkkelbytte med 768-biters eller 2048-biters nøkler og AES128-CTR-kryptering.
På bare en og en halv måned har denne skadelige programvaren skannet og angrepet mer enn 3,500 IP-adresser. Og det ser dessuten ut til at det er mer levende enn noen gang.
Hvordan dempe disse angrepene
Brute force-angrep er ikke avhengige av en sikkerhetsfeil i et program eller en protokoll, så vi kan ikke forvente at en magisk patch plutselig skal beskytte oss. Derfor er det ingen måte å fullstendig beskytte oss mot denne trusselen, men det vi må gjøre er å dempe virkningen og forhindre oss i å bli det neste offeret.
For å gjøre dette er det første og mest åpenbare at, hvis vi ikke bruker SSH, må vi deaktivere tjenesten på vår Linux. Dette vil hindre oss i å koble oss eksternt til systemet, men det garanterer samtidig at vi ikke faller i klørne til disse hackerne. En annen mulig måte å beskytte oss på er å konfigurere sikkerhet til blokkere tilkoblinger etter et begrenset antall forsøk . Så, for eksempel, hvis tilkoblinger blokkeres etter 10 mislykkede forsøk i 10 minutter, blir brute force-angrep ineffektive.
Andre tips for å redusere virkningen av skadelig programvare er de typiske, for eksempel å ikke bruke standardbrukere, bruke lange, tilfeldige og sterke passord og endre standardporten.
