Недавний инцидент с ботнетом Outlaw подчеркивает сохраняющуюся угрозу, исходящую от среды Linux, в частности из-за использования слабых учетных данных SSH. Ботнет, также известный как «Dota», функционирует как инструмент для майнинга криптовалют, используя скомпрометированные системы и недостатки в инфраструктуре безопасности.
Схема атаки
Первоначальный взлом систем, как правило, происходит из-за плохой настройки SSH-доступа. Наиболее распространенный случай — это совпадение имени пользователя и пароля, что представляет серьезную угрозу безопасности. В ходе расследования инцидента судебно-медицинский анализ скомпрометированной системы выявил:
- Необычный авторизованный SSH-ключ, связанный с незаконными кампаниями.
- Использование стандартных утилит, таких как wget и curl, для загрузки скриптов.
- Запуск скрипта tddwrt7s.sh, который извлекает вредоносный файл dota.tar.gz.
Функциональность вредоносного ПО
Скрипт, загружаемый злоумышленниками, не только выявляет и завершает работу других майнеров криптовалюты, но и сохраняет стабильность работы Outlaw за счет оптимизации использования ресурсов:
- Проверка запущенных процессов на высокую загрузку процессора.
- Выборочное завершение незнакомых процессов.
- Изменение настроек SSH для постоянного доступа.
Следующим этапом является выполнение запутанного скрипта на Perl, кодированного в Base64, функционирующего как IRC-клиент ботнета. Он маскируется под процесс rsync и поддерживает соединение с жестко запрограммированным IRC-сервером для получения команд, что позволяет осуществлять:
- Выполнение произвольных команд.
- DDoS-атаки.
- Файловые операции.
Цели и методы преступной группы
Анализ также выявил бинарный файл ELF, содержащий UPX, после извлечения который оказался модифицированной версией XMRig, популярного майнера криптовалют. Конфигурации показали, что майнер нацелен на Monero, отключая возможности GPU, что говорит о стремлении оптимизировать использование ресурсов процессора.
По данным телеметрии, преступная группа нацелена преимущественно на жертв в Соединенных Штатах, а также в странах, включая Германию, Италию и Бразилию. Тактика группы основывается на постоянном совершенствовании инструментария, включая методы уклонения, такие как обфускация и сокрытие файлов. Они используют скомпрометированные SSH-ключи для поддержания постоянного доступа.
Рекомендации по снижению рисков
Чтобы минимизировать риски, эксперты в области кибербезопасности рекомендуют:
- Улучшить конфигурации SSH.
- Мониторить сомнительные процессы.
- Ограничить доступ по SSH только для проверенных пользователей и сетей.
В целом, ботнет Outlaw является ярким примером серьезной проблемы, которую представляют постоянные угрозы в защищенности Linux-систем. Важно принимать меры для улучшения безопасности и защиты от подобных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Ботнет Outlaw: угроза, активирующаяся через уязвимости SSH".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.