Skuteczny atak brute force na serwer DNS pod kontrolą Linuxa

22 października, 2015

W czerwcu 2015, zespół reagowania na incydenty bezpieczeństwa firmy Check Point został poinformowany przez klienta o niecodziennej aktywności na jednym z jego serwerów DNS BIND działającym pod kontrolą systemu operacyjnego Linux. Dziwne zachowanie polegało na zapisywaniu dużej ilości podejrzanych plików w katalogach systemowych.

Szczegółowa analiza zainfekowanego systemu dokonana przez zespoły reagowania na incydenty bezpieczeństwa oraz badania złośliwego oprogramowania firmy Check Point szybko wykazała, że na wspomnianym serwerze rzeczywiście doszło do włamania. Atak został przeprowadzony metodą brute force poprzez SSH wcześniej tego samego miesiąca. Adresy IP atakujących pochodziły z zakresów należących głównie do chińskich dostawców internetowych. Wykorzystując sieć komputerów do ataku, włamywaczom zajęło jedynie kilka dni, aby uzyskać dostęp roota i przejąć pełną kontrolę nad serwerem.

Po przejęciu kontroli nad serwerem, atakujący zainfekowali system dwoma złośliwymi programami. Były to XOR.DDoS oraz Groundhog, które zostały specjalnie zaprojektowane, aby zarażać systemy Linux i zmuszać je do uczestniczenia w wielkich atakach typu DDoS (Distributed Denial of Service). Skuteczność tego złośliwego oprogramowania pokazuje duży krok naprzód w możliwościach wykorzystania ataków DDoS w celach przestępczych. Efektywność kodu w połączeniu z faktem, że programy te infekują jedynie serwery Linux z dostępem do wysokoprzepustowych łączy, mogą spowodować, że będziemy świadkami ataków DDoS na niespotykaną dotąd skalę.

Podczas gdy XOR.DDoS był już przedtem znany i przeanalizowany, program Groundhog to nowo odkryte zagrożenie. Dochodzenie Check Pointa wykazało bardzo duże podobieństwo tych dwóch aplikacji: używają one podobnej konfiguracji, metod ochrony oraz sposobu komunikacji. Po głębszej analizie próbek można stwierdzić, że istnieje duże prawdopodobieństwo, że są to różne moduły tej samej rodziny złośliwego oprogramowania i że zostały one zaprojektowane i napisane przez tego samego autora.

Dane badawcze pokazały, że atakujący niedawno zmienili sieci używane do ataków, najprawdopodobniej wskutek wykrycia i działań prewencyjnych przeprowadzonych w ostatnim czasie. Ten raport podsumowuje badania Check Pointa i dostarcza szczegółowych danych na temat całego ataku, włączając zaobserwowane metody zarażeń, techniki wykorzystywane przez złośliwe oprogramowanie oraz analizę plików wykonywalnych.

Klienci korzystający z systemu IPS blade firmy Check Point mogą ochronić się przed początkowym atakiem SSH typu brute force wykonywanym przez ten botnet poprzez włączenie i odpowiednią konfigurację zabezpieczenia IPS „Wielokrotne żądania inicjujące połączenie SSH”.

Oprogramowanie antywirusowe i antybotowe firmy Check Point oferuje różne sygnatury, aby ochronić klientów przed infekcjami wykonywanymi przez ten botnet. Sygnatury te są znane pod następującymi nazwami: Backdoor.Linux.Xorddos.*  i Operator.Xorddos.*

źródło: Check Point

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]