کمیته رکن چهارم – سرورهای لینوکس SSH با سطح امنیت ضعیف توسط مهاجمان هدف قرار میگیرند تا اسکنرهای پورت و ابزارهای حمله دیکشنری را به قصد هدف قرار دادن سایر سرورهای آسیبپذیر و مشارکت آنها در شبکه برای انجام استخراج رمزارز و حملات Distributed Denial-of-Service (DDoS) مورد هدف قرار دهند.
مرکز پاسخگویی اضطراری امنیتی AhnLab (ASEC) در گزارش روز گذشته خود گفت: “عاملان تهدید همچنین میتوانند فقط اسکنرها را نصب کنند و IP و اطلاعات حساب کاربری نقض شده را در دارکوب بفروشند”.
در این حملات، دشمنان سعی میکنند اعتبارنامه SSH سرور را با اجرای فهرستی از ترکیبات رایج نامهای کاربری و رمزهای عبور، که تکنیکی به نام حمله دیکشنری یا Dictionary Attack نامیده میشود، حدس بزنند.
اگر تلاش brute-force موفقیتآمیز باشد، عامل تهدید بدافزار دیگری ازجمله اسکنرها را برای اسکن سایر سیستمهای حساس در اینترنت بهکار میگیرد.
takian.ir poorly secured linux ssh servers 2
به طور خاص، این اسکنر برای جستجوی سیستمهایی طراحی شده است که در آن پورت ۲۲، که با سرویس SSH مرتبط میباشد، فعال است و سپس فرآیند مرحلهبندی یک حمله دیکشنری را برای نصب بدافزار تکرار میکند و به طور موثر آلودگی را منتشر میکند.
یکی دیگر از جنبههای قابل توجه حمله، اجرای دستوراتی مانند “grep-c^processor/proc/cpuinfo” برای تعیین تعداد هستههای CPU است.
مجموعه ASEC گفت: “به نظر میرسد این ابزارها توسط تیم قدیمی PRG ساخته شدهاند و هر عامل تهدید قبل از استفاده از آنها در حملات، آنها را کمی اصلاح میکند”.
برای کاهش خطرات مرتبط با این حملات، توصیه میشود که کاربران به گذرواژههایی که حدس زدن آنها سخت است، تکیه کنند، آنها را بهصورت دورهای تغییر دهند و سیستم خود را بهروز نگه دارند.
این یافتهها در حالی بهدست آمد که کسپرسکی فاش کرد که یک تهدید چند پلتفرمی جدید به نام NKAbuse از پروتکل اتصال شبکهای غیرمتمرکز و همتا به همتا معروف به NKN (مخفف New Kind of Network) بهعنوان یک کانال ارتباطی برای حملات DDoS استفاده میکند.
منبع: افتانا