Аналитический центр AhnLab SEcurity (ASEC) отметил растущее количество атак на плохо защищенные Linux-серверы, которые становятся целью для DDoS-атак и атак CoinMiner. В ходе мониторинга внешних атак был обнаружен новый штамм вредоносного ПО DDoS, нацеленного на Linux-серверы, который использует слабые SSH-сервисы для получения доступа. Новый вирус, называемый cShell, использует инструменты Linux, такие как screen и hping3, для проведения атак.
cShell Botnet
Процесс первоначального доступа злоумышленника к серверу начинается с сканирования публично доступных SSH-сервисов и попыток входа в систему с использованием атаки грубой силы. При успешном входе злоумышленник выполняет команды для установки вредоносного ПО cARM. Вредоносная программа устанавливается и регистрируется под службой с помощью команды systemctl, обеспечивая постоянную активность.
cShell отличается от типичных DDoS-ботов тем, что использует инструменты, предоставляемые Linux, для проведения атак. Он устанавливает инструменты screen и hping3 на целевом сервере. Screen позволяет запустить и управлять несколькими виртуальными терминалами, а hping3 генерирует и анализирует пакеты TCP/IP для проведения DDoS-атак. cShell использует различные команды hping3, такие как SYN, ACK и UDP, для передачи пакетов с максимальной скоростью.
cShell является относительно простым DDoS-ботом, разработанным на языке Go. Он включает 6 команд для проведения DDoS-атак и функцию обновления. Когда cShell запущен, он устанавливает необходимые инструменты и подключается к C&C-серверу для получения команд и отправки результатов. cShell поддерживает различные команды для DDoS-атак, такие как SYN Flood, ACK Flood, PSH Flood и UDP Flood.
Присутствие нового штамма вредоносного ПО DDoS, такого как cShell, нацеленного на слабо защищенные Linux-серверы, указывает на необходимость улучшения безопасности серверов и применения патчей для устранения уязвимостей.
Indicators of Compromise
IPv4
- 195.178.110.6
- 45.148.10.176
- 45.148.10.203
- 45.148.10.46
- 51.81.121.129
URLs
- http://51.81.121.129/cARM
- http://51.81.121.129/sshell.service
- https://pastebin.com/raw/2AhnDGts
- https://pastebin.com/raw/7beUg9vK
- https://pastebin.com/raw/8kGSNMFr
MD5
- 29d6ef7365c18d243163a648fa6cd697
- cd8bf4ce178ef5ddac77933d03ffb381