Det har alltid sagts Linux var ett osårbart system, att det inte fanns några virus, och att det är mycket säkrare än andra alternativ, som t.ex. Windows eller macOS. Men även om det är sant att detta system erbjuder oss ett plus av säkerhet jämfört med sina konkurrenter, är det långt ifrån det fäste som många skryter. Och inte bara på grund av virus som kan påverka det direkt, utan också på grund av avlägsen skadlig kod, som direkt attackerar program eller protokoll, mot vilka vi inte kan göra något. Och detta är vad det nya Det gör RapperBot.
RapperBot är ett nytt botnät som har varit i drift sedan mitten av juni i år. Denna skadliga programvara är specialiserad på att utföra brute force-attacker på SSH-protokollet för alla typer av Linux-servrar. Med detta syftar den till att upprätta en förbindelse med datorn, komma åt den och kunna både komma åt data som finns lagrad på servern och röra sig runt i nätverket i jakt på andra datorer.
Denna nya skadliga programvara är baserad på Mirai, en trojan som har infekterat tiotusentals Linux-enheter under några år för att skapa ett av de största datornätverken för att hyra ut det till högstbjudande för alla typer av dataangrepp. Men även om RapperBot är baserat på det, är det något annorlunda genom att hackare har mer kontroll över dess expansion och den försöker inte fokusera på att utföra DDoS-attacker, utan på fjärranslutning till datorer och sidorörelse inom ett nätverk. netto.
Hackare styr detta botnät via en C2-panel. På så sätt kan de indikera mål och skicka listor över SSH-användare att testa, med brute force, vilken som tillåter anslutningen. Den kan ansluta till vilken SSH-server som helst med Diffie-Hellmann nyckelbyte med 768-bitars eller 2048-bitars nycklar och AES128-CTR-kryptering.
På bara en och en halv månad har denna skadliga programvara skannat och attackerat mer än 3,500 XNUMX IP-adresser. Och det verkar dessutom som att det är mer levande än någonsin.
Hur man mildrar dessa attacker
Brute force attacker förlitar sig inte på ett säkerhetsbrist i ett program eller protokoll, så vi kan inte förvänta oss att en magisk patch plötsligt skyddar oss. Därför finns det inget sätt att helt skydda oss mot detta hot, men vad vi måste göra är att mildra dess påverkan och förhindra oss från att bli nästa offer.
För att göra detta är det första och mest uppenbara att, om vi inte använder SSH måste vi avaktivera tjänsten på vår Linux. Detta kommer att hindra oss från att fjärransluta till systemet, men det garanterar samtidigt att vi inte hamnar i klorna på dessa hackare. Ett annat möjligt sätt att skydda oss är att konfigurera säkerhet till blockera anslutningar efter ett begränsat antal försök . Så, till exempel, om anslutningar blockeras efter 10 misslyckade försök under 10 minuter, blir brute force-attacker ineffektiva.
Andra tips för att mildra effekterna av skadlig programvara är de typiska, som att inte använda standardanvändare, använda långa, slumpmässiga och starka lösenord och att ändra standardporten.
