Ao usar este site, você concorda com a Política de Privacidade e os Isenção de parceria e publicidade.
Aceito
SempreUpdate SempreUpdate
  • Home
  • Notícias
  • Tutoriais
  • Android
  • Games
  • Contato
Buscar
  • Contact
  • Contact
  • Blog
  • Blog
  • Complaint
  • Complaint
  • Advertise
  • Advertise
© 2022 SempreUpdate - Todos os Direitos Reservados
LENDO: Botnet peer-to-peer Panchan sequestra servidores Linux
Compartilhe
Entrar
Notificações Veja mais
Últimas notícias
KDE corrigiu muitos bugs com o Plasma 5.25.1 e mais correções estão a caminho
KDE corrigiu muitos bugs com o Plasma 5.25.1 e mais correções estão a caminho
25/06/2022
KDE corrigiu muitos bugs com o Plasma 5.25.1 e mais correções estão a caminho
Linux Kernel Build do Google para Stadia adiciona suporte ao driver NVIDIA
25/06/2022
o-inventor-da-web-tim-berners-lee-quer-descentralizar-sua-criacao
O inventor da Web Tim Berners-Lee quer descentralizar sua criação
25/06/2022
quais-os-motivos-por-tras-da-queda-do-bitcoin
Quais os motivos por trás da queda do Bitcoin?
25/06/2022
EndeavourOS 22.6 "Atermis" melhora suporte ao ARM
EndeavourOS 22.6 “Atermis” melhora suporte ao ARM
25/06/2022
Aa
SempreUpdate SempreUpdate
Aa
  • Home
  • Notícias
  • Tutoriais
  • Android
  • Games
  • Contato
Buscar
  • Home
  • Notícias
  • Tutoriais
  • Android
  • Games
  • Contato
Have an existing account? Entrar
Siga-nos
  • Contact
  • Contact
  • Blog
  • Blog
  • Complaint
  • Complaint
  • Advertise
  • Advertise
© 2022 SempreUpdate - Todos os Direitos Reservados
SempreUpdate > Blog > Notícias > Botnet peer-to-peer Panchan sequestra servidores Linux
Notícias

Botnet peer-to-peer Panchan sequestra servidores Linux

A ameaça do malware worm usa a força bruta para invasão e permite a mineração de criptografia.

Claylson Martins
Claylson Martins 16/06/2022
Atualizado em 16/06/22 às 12:48 PM
Compartilhe
Botnet peer-to-peer Panchan sequestra servidores Linux
COMPARTILHE

Pesquisadores alertam sobre um novo worm que está infectando servidores Linux por força bruta e roubando credenciais SSH. Os servidores sequestrados são unidos em uma botnet e são usados para minerar criptomoedas carregando programas de mineração diretamente na memória sem arquivos no disco. Assim, esse novo botnet peer-to-peer Panchan sequestra servidores Linux e usa técnicas de força bruta para conseguir êxito.

Apelidado de Panchan por pesquisadores da Akamai, o malware é escrito na linguagem de programação Go. Isso permite que seja independente de plataforma. Ele apareceu pela primeira vez no final de março e infectou servidores em todas as regiões do mundo desde então. Porém, a Ásia parece ter uma concentração maior deste tipo de ataque. O setor que sofreu maior impacto foi o da educação.

Isso pode ser devido à falta de cuidado da senha ou pode estar relacionado à capacidade exclusiva de movimento lateral do malware com chaves SSH roubadas”, disse a equipe da Akamai em um post no blog. Pesquisadores em diferentes instituições acadêmicas podem colaborar com mais frequência e exigir credenciais para se autenticar em máquinas que estão fora de sua organização/rede, do que funcionários do setor empresarial. Para fortalecer essa hipótese, vimos que algumas das universidades envolvidas eram do mesmo país – Espanha, ou outros da mesma região, como Taiwan e Hong Kong.

Infecções SSH e comunicações ponto a ponto

O malware tem recursos de worm, o que significa que ele pode pular automaticamente de máquina para máquina. Ele consegue isso de duas maneiras: lançando um ataque de força bruta baseado em dicionário contra serviços de acesso remoto SSH para tentar adivinhar combinações de nome de usuário/senha e roubando chaves SSH autorizadas que já existem em máquinas infectadas.

“O malware procura no diretório HOME do usuário em execução a configuração e as chaves do ssh”, disseram os pesquisadores. “Ele lê a chave privada em ~HOME/.ssh/id_rsa e a usa para tentar autenticar em qualquer endereço IP encontrado em ~HOME/.ssh/known_hosts. Este é um novo método de coleta de credenciais que não vimos usado em outros malwares .”

Uma vez que obtém acesso a uma nova máquina, o malware cria uma pasta com um nome aleatório no diretório raiz e se copia dentro com o nome de arquivo xinetd. O malware é então executado junto com uma lista de pares. Isso estabelece um canal de comunicação entre diferentes máquinas infectadas, permitindo que elas transmitam comandos e configurações umas às outras. O canal de comunicação usa a porta TCP 1919 que o malware abre no firewall usando os comandos iptables.

Botnet peer-to-peer Panchan sequestra servidores Linux
Botnet peer-to-peer Panchan sequestra servidores Linux.

Um recurso interessante, provavelmente influenciado por sua topologia de comando e controle ponto a ponto, é que o binário malicioso tem um painel de comando embutido, ao contrário de tal painel ser hospedado em um servidor de comando e controle. O acesso remoto a este painel pode ser feito enviando o comando “godmode” para o malware e, em seguida, fornecendo a chave privada correta para autenticação.

O painel de administração tem três opções principais: atualizar a tela de status, exibir a lista de peers e atualizar a configuração do cryptominer. O painel exibe texto em japonês, sugerindo que os criadores do malware são falantes de japonês.

Botnet peer-to-peer Panchan sequestra servidores Linux. Cryptomining é o propósito da botnet

O principal objetivo da botnet neste momento parece ser a criptomineração, embora isso possa ser expandido posteriormente. O malware implanta os mineradores xmrig e nbhash, mas o faz usando a função memfd_create para criar arquivos mapeados e executados diretamente na memória sem gravá-los no disco. Isso provavelmente se destina a evitar a detecção, pois tanto o xmrig quanto o nbhash são programas de criptomineração bem conhecidos para os quais a maioria dos programas de segurança emitirá alertas.

Isso é ainda apoiado pelo fato de que o malware possui um módulo antimonitoramento chamado antitaskmanager que procura continuamente os processos top e htop e encerra os processos de mineração se os vir. Top e htop são utilitários do Linux usados para monitorar processos ativos e seu uso de recursos.

O malware também possui um mecanismo anti-kill que captura os sinais de terminação SIGTERM e SIGINT do Linux e para seu próprio processo e os ignora. No entanto, os pesquisadores apontam que isso não impede o SIGKILL, que pode ser usado para matar seu processo.

Os pesquisadores da Akamai criaram um repositório com indicadores de comprometimento para esse malware, bem como assinaturas de detecção YARA e Snort. Eles também recomendam que as organizações definam senhas SSH fortes, usem soluções de autenticação multifator, segmentem suas redes, permitam conexões SSH apenas de hosts conhecidos e monitorem suas VMs quanto a atividades de recursos incomuns, pois o malware de criptografia gerará alto consumo de recursos.

Leia também

KDE corrigiu muitos bugs com o Plasma 5.25.1 e mais correções estão a caminho

Linux Kernel Build do Google para Stadia adiciona suporte ao driver NVIDIA

O inventor da Web Tim Berners-Lee quer descentralizar sua criação

Quais os motivos por trás da queda do Bitcoin?

EndeavourOS 22.6 “Atermis” melhora suporte ao ARM

MARCADORES: Botnet, Criptomoeda, Malware, Panchan, peer to peer
Fonte CSoline

Inscreva-se no boletim diário

Receba as últimas notícias de última hora diretamente na sua caixa de entrada.

Receba as novidades

Não se preocupe, não enviamos spam
Ao se inscrever, você concorda com nossos Termos de Uso e reconhece as práticas de dados em nossa Política de Privacidade. Você pode cancelar sua inscrição a qualquer momento.
Claylson Martins 16/06/2022
Compartilhe este artigo
Facebook TwitterEmail Print
Compartilhe
Postador por Claylson Martins
Siga:
Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão. Nas horas não muito vagas, professor, fotógrafo, apaixonado por rádio e natureza.
Artigo anterior Crescem os ataques por malware distribuído por e-mail com arquivos em PDF anexados Crescem os ataques por malware distribuído por e-mail com arquivos em PDF anexados
Próx Artigo LibreOffice 7.4 beta já está disponível para testes LibreOffice 7.4 beta já está disponível para testes

Permaneça conectado

8.7k Curta
4.5k Siga
3.1k Siga
3.4k Siga

Acabamos de publicar

KDE corrigiu muitos bugs com o Plasma 5.25.1 e mais correções estão a caminho
KDE corrigiu muitos bugs com o Plasma 5.25.1 e mais correções estão a caminho
Notícias
KDE corrigiu muitos bugs com o Plasma 5.25.1 e mais correções estão a caminho
Linux Kernel Build do Google para Stadia adiciona suporte ao driver NVIDIA
Linux Kernel
o-inventor-da-web-tim-berners-lee-quer-descentralizar-sua-criacao
O inventor da Web Tim Berners-Lee quer descentralizar sua criação
Tecnologia
quais-os-motivos-por-tras-da-queda-do-bitcoin
Quais os motivos por trás da queda do Bitcoin?
Notícias

Você pode gostar também

quais-os-motivos-por-tras-da-queda-do-bitcoin
Notícias

Quais os motivos por trás da queda do Bitcoin?

3 Min para leitura
Crescem os ataques por malware distribuído por e-mail com arquivos em PDF anexados
Notícias

Crescem os ataques por malware distribuído por e-mail com arquivos em PDF anexados

11 Min para leitura
hackers-iranianos-usam-novo-malware-lyceum-em-seus-ataques
Notícias

Hackers iranianos usam novo malware Lyceum em seus ataques

3 Min para leitura
Symbiote é um malware para Linux quase impossível de detectar
Notícias

Symbiote é um malware para Linux quase impossível de detectar

3 Min para leitura
//

Nós influenciamos mais de 2 milhões de pessoas todos os meses. Levamos informação com isenção e responsabilidade.

Outros links

  • Isenção de responsabilidade da parceria e publicidade SempreUpdate
  • Política financiamento e publicidade do SempreUpdate
  • Política de Ética SempreUpdate
  • Política de Correções SempreUpdate
  • Política de verificação de fatos SempreUpdate

Sobre o SempreUpdate

SempreUpdate é um site sobre Linux composto por membros das comunidades Linux ou código aberto. Além de Linux, também falamos sobre conteúdo Geek, e outros assuntos relacionados a tecnologia.

SempreUpdate SempreUpdate
Siga-nos

© 2022 SempreUpdate - Todos Os Direitos Reservados

Removed from reading list

Undo
Bloqueador de anúncios identificado
Nosso site é um site que depende da publicidade. Por favor, nos ajude colocando o noso site na sua lista de exceções!
Okay, I'll Whitelist
Bem vindo de volta!

Faça login em sua conta

Lost your password?