Всегда говорилось, что Linux была неуязвимой системой, что в ней не было вирусов, и что она намного безопаснее, чем другие альтернативы, такие как Windows или макОС. Однако, несмотря на то, что эта система действительно предлагает нам больше безопасности по сравнению с ее конкурентами, она далека от того оплота, которым многие хвастаются. И не только из-за вирусов, которые могут воздействовать на него напрямую, но и из-за удаленного вредоносного ПО, которое напрямую атакует программы или протоколы, против которых мы ничего не можем сделать. И вот что нового РэпперБот делает.
RapperBot — это новый ботнет, работающий с середины июня этого года. Это вредоносное ПО специализируется на проведении атак методом перебора по протоколу SSH всех типов Linux-серверов. При этом он стремится установить соединение с компьютером, получить к нему доступ и иметь возможность как получить доступ к данным, хранящимся на сервере, так и перемещаться по сети в поисках других компьютеров.
Эта новая вредоносная программа основана на Mirai, трояне, который заражал десятки тысяч устройств Linux в течение нескольких лет, чтобы создать одну из крупнейших компьютерных сетей, чтобы сдать ее в аренду тому, кто больше заплатит, для всех видов компьютерных атак. Однако, хотя и основанный на нем, RapperBot несколько отличается тем, что хакеры имеют больший контроль над его расширением и он стремится сосредоточиться не на проведении DDoS-атак, а на удаленном подключении к компьютерам и боковом перемещении внутри сети. сеть.
Хакеры управляют этим ботнетом через панель C2. Таким образом, они могут указывать цели и отправлять списки пользователей SSH для проверки с помощью грубой силы, какой из них разрешает соединение. Он способен подключаться к любому SSH-серверу с помощью Обмен ключами Диффи-Хеллмана с 768-битными или 2048-битными ключами и шифрованием AES128-CTR.
Всего за полтора месяца эта вредоносная программа просканировала и атаковала более 3,500 IP-адресов. И кажется, кроме того, что он более живой, чем когда-либо.
Как смягчить эти атаки
Атаки грубой силы не основаны на уязвимости в программе или протоколе, поэтому мы не можем ожидать, что волшебный патч внезапно защитит нас. Таким образом, нет никакого способа полностью защитить себя от этой угрозы, но мы должны смягчить ее воздействие и не допустить, чтобы мы стали следующей жертвой.
Для этого первое и самое очевидное заключается в том, что если мы не используем SSH, мы должны деактивировать службу на нашем линуксе. Это не позволит нам подключиться к системе удаленно, но в то же время гарантирует, что мы не попадем в лапы этих хакеров. Еще один возможный способ защитить себя — настроить безопасность на блокировать соединения после ограниченного количества попыток . Так, например, если соединения блокируются после 10 неудачных попыток в течение 10 минут, атаки методом полного перебора становятся неэффективными.
Другие советы по смягчению воздействия вредоносных программ являются типичными, такими как отказ от использования пользователей по умолчанию, использование длинных, случайных и надежных паролей и изменение порта по умолчанию.
