Слабая аутентификация по протоколу SSH остается одной из самых часто эксплуатируемых уязвимостей в интернете. Операторы бот-сетей активно используют подбор учетных данных для мгновенного захвата Linux-систем. Наглядную демонстрацию этого процесса зафиксировал сенсор DShield в ходе учебного исследования. Анализ показал полный цикл атаки самораспространяющегося червя, который за считанные секунды превращает уязвимое устройство в инструмент для дальнейших взломов.
Описание
Атака началась 08:24:13 с подключения к SSH-серверу. Исходный IP-адрес (83.135.10[.]12) принадлежит немецкому интернет-провайдеру Versatel Deutschland. Примечательно, что злоумышленник использовал клиентскую строку, указывающую на ОС Raspbian. Этот факт позволяет предположить, что для атаки уже было задействовано скомпрометированное ранее устройство Raspberry Pi.
Всего через секунду, в 08:24:14, атака увенчалась успехом. Система была взломана с помощью пары логин-пароль: пользователь "pi" и крайне ненадежный пароль "raspberryraspberry993311". Успешный подбор учетных данных открыл злоумышленнику полный доступ. Немедленно, в течение следующих трех секунд, произошла загрузка и исполнение вредоносного скрипта. Восстановленная хронология демонстрирует стремительность всего процесса компрометации.
После установки соединения злоумышленник незамедлительно загрузил на систему вредоносный bash-скрипт размером 4.7 КБ. Его выполнение привело к полному захвату устройства. Первым делом скрипт обеспечил себе устойчивость (persistence) в системе. Затем он ликвидировал процессы, связанные с конкурирующим вредоносным ПО, и модифицировал системный файл hosts. Эта манипуляция перенаправила трафик на управляющий сервер (C2), прописав его адрес в качестве локального.
Особенностью данной атаки стала система верификации команд. Встроенный RSA-ключ использовался для цифровой подписи и проверки указаний, поступающих с C2-сервера. Для управления ботом скрипт подключил устройство к шести IRC-сетям, присоединившись к каналу "#biret". После регистрации в канале устанавливалось постоянное TCP-соединение для управления. Контроль жизнеспособности узла осуществлялся по простой схеме "пинг-понг": сервер отправлял сообщение "PING", а бот должен был отвечать "PONG".
Следующим этапом стала подготовка к горизонтальному перемещению (lateral movement). На скомпрометированное устройство были установлены инструменты Zmap и sshpass. После этого бот начал активное сканирование интернета. Он проверял 100 000 случайных IP-адресов на предмет открытого 22-го порта (SSH). Для каждой найденной уязвимой системы автоматически предпринималась попытка входа с двумя наборами учетных данных: стандартными "pi/raspberry" и ранее использованной парой "pi/raspberryraspberry993311". При успешном взломе весь цикл атаки повторялся на новой жертве, обеспечивая распространение червя.
Хотя в данном конкретном случае криптомайнер не был установлен, логика скрипта указывает на такую возможность. Убийство процессов других майнеров и бот-сетей явно готовило систему для монопольного использования ее ресурсов. C2-сервер мог в любой момент отдать команду на загрузку майнера или иного вредоносного модуля (payload).
Данный инцидент содержит несколько важных уроков для специалистов по безопасности. Во-первых, слабые и стандартные пароли по-прежнему являются ключевым вектором атак. В данном случае успех был обеспечен включенной аутентификацией по паролю, отсутствием защиты от перебора и использованием учетных данных по умолчанию. Во-вторых, устройства интернета вещей (IoT) остаются идеальными целями для бот-сетей. Они часто оказываются в сети без базовой настройки безопасности. В-третьих, подобные черви способны распространяться чрезвычайно быстро и тихо. Весь цикл от подключения до начала сканирования занял менее четырех секунд.
Для предотвращения подобных атак эксперты рекомендуют ряд мер. Следует полностью отключить аутентификацию по паролю в SSH, перейдя на использование ключей. На устройствах Raspberry Pi необходимо удалить стандартного пользователя "pi" или сменить его пароль. Также критически важно установить и настроить систему предотвращения перебора, такую как fail2ban. Кроме того, IoT-устройства должны быть изолированы от основной корпоративной сети с помощью сегментации.
Этот случай наглядно показывает, как устройство Raspberry Pi без какой-либо настройки безопасности может быть превращено в полноценного бота для вредоносной сети. Инцидент служит напоминанием, что усиление защиты (hardening) необходимо даже для небольших Linux-устройств и систем, используемых энтузиастами. Без базовых мер предосторожности они становятся не просто жертвами, а плацдармом для масштабных атак.
Индикаторы компрометации
IPv4
- 83.135.10.12
