AhnLab Security Intelligence Center (ASEC) otkrio je novu vrstu DDoS malicioznog softvera, pod nazivom cShell , koji cilja na loše upravljane Linux SSH servere (screen i hping3 ).
Maliciozni softver iskorištava slabe SSH kredencijale i koristi Linux alate za izvođenje sofisticiranih DDoS napada. Ovaj razvoj događaja naglašava rastuću prijetnju koju predstavljaju hakeri koji iskorištavaju loše osigurane sisteme.
Početni pristup i proces infekcije
ASEC-ovo praćenje honeypots otkrilo je da napadači skeniraju javno izložene SSH usluge i koriste tehnike brutalne sile da bi dobili pristup.
Kada uđu, koriste komande za instaliranje alata kao što su curl i vrsta malicioznog softvera pod nazivom cARM .
Ovisno o distribuciji Linux-a, instalacija se provodi pomoću upravitelja paketa kao što su apt , yum ili apk . Posebno, poruke o grešci tokom ovog procesa su napisane na njemačkom jeziku, sugerišući moguće porijeklo ili operativni trag.
Maliciozni softver se sam instalira u /etc/de/cARMdirektorij i koristi konfiguraciju datoteke pod nazivom sshell.serviceda se registruje kao trajna usluga putem systemctlnaredbe. Ovo osigurava da maliciozni softver ostaje aktivan čak i nakon ponovnog pokretanja sistema.
Eksploatacija Linux alata
Za razliku od tradicionalnih DDoS botova, cShell se oslanja na postojeći ekran Linux uslužnih programa i hping3 da izvrši svoje napade:
- Ekran : Uslužni program za upravljanje višestrukim terminalskim sesijama, omogućavajući izvršavanje zadataka u pozadini čak i ako je terminal zatvoren. cShell ga koristi za izvršavanje naredbi pod nazivom sesije “concurrent”.
- Hping3 : Alat za generisanje i analizu paketa koji se koristi za dijagnostiku mreže. cShell iskorištava svoju sposobnost slanja TCP, UDP i ICMP paketa za različite tipove DDoS napada.
Maliciozni softver instalira ove alate koristeći naredbe kao što su:
# bash -c apt -y install curl && apt -y install hping3 && apt -y install screenZatim izvršava hping3 komande kroz sesije ekrana za pokretanje napada kao što su SYN poplave, ACK poplave i UDP poplave. Ovi napadi preplavljuju ciljane servere šaljući velike količine paketa maksimalnom brzinom.
Ključne karakteristike cShell-a
Prema istraživanju Asec-a , šest DDoS instrukcija je integrisano u cShell, koji je kreiran korištenjem Go programskog jezika i uključuje funkciju ažuriranja. Dobija instrukcije kroz interakciju sa serverom za komandu i kontrolu (C&C). Neke od naredbi koje su podržane su:
- SYN poplava:
hping3 -S -d <Data Size> -p <Port> --flood <Target IP> - ACK Flood:
hping3 -A -d <Data Size> -p <Port> --flood <Target IP> - UDP Flood:
hping3 -2 -d <Data Size> -p <Port> --flood <Target IP> - Prilagođeni DDoS napadi koristeći zastavice poput
-FXYAP.
Maliciozni softver se također povezuje na više Pastebin URL-ova tokom procesa ažuriranja kako bi preuzeo najnoviju verziju sebe koristeći curl . Ova redundantnost osigurava nastavak rada čak i ako se neki C&C serveri uklone.
Izvor: CyberSecurityNews