概要
DShieldのhoneypotセンサーが、脆弱なパスワードを利用してLinuxシステム間で自己複製するSSHワームを検出した。この攻撃は、デフォルトの資格情報や弱いパスワードを使用した自動化されたクレデンシャルスタッフィングとブルートフォースツールによって実行されている。
攻撃の詳細
DShieldのセンサーが最近記録した完全な侵害シーケンスは、以下の手順で進行しました:
- 08:24:13: 攻撃者はIPアドレス 83.135.10.12から接続。
- 08:24:14: pi / raspberryraspberry993311の資格情報でブルートフォース攻撃に成功。
- 08:24:15: 4.7KBのbashスクリプトがSCP経由でアップロードされる。
- 08:24:16: スクリプトが実行され、持続性が確立される。
- 08:24:17: 攻撃者が切断し、ワームがC2チェックインとアクティブスキャンを開始する。
この攻撃はわずか4秒でシステムを完全にボットネットノードに変換しました。
攻撃の影響
攻撃者は、SSH接続が確立された直後に小さなbashスクリプトを展開し、持続性を確保し、競合するマルウェアを停止し、システムのホストファイルを変更して既知のC2ドメインをループバックアドレスにリダイレクトしました。
さらに、攻撃者はIRCネットワークを通じて6つのチャネルに参加し、「#biret」という名前のチャンネルで操作者と通信しました。このスクリプトは、DShieldのセンサーによってキャプチャされました。
ポストコンフリクトの行動
攻撃者は「PING」コマンドを使用してC2から署名された命令を検証し、「PONG」という応答でボットネットへの登録が成功したことを確認しました。
脅威の拡散
攻撃者は、zmap(高速ネットワークスキャナ)とsshpass(自動化されたSSHログインツール)をインストールし、10万個以上のランダムなIPアドレスに対してオープンなSSHポートを探しました。
対策
セキュリティチームや家庭ユーザーは以下の措置を講じることでこれらの脅威に対抗できます:
- パスワード認証の無効化とSSHキーベースログインの強制。
- Raspberry Piデバイスからデフォルトの「pi」ユーザーを削除。
- fail2banなどのツールを使用して繰り返しのSSH試行をブロックする。
- IoTシステムと主要な生産ネットワークを分離する。