Novo malware ShellBot tem como alvo servidores SSH Linux mal gerenciados

Nova ferramenta do Google pesquisa dados de e-mail na dark web
dark web

O novo malware bot ShellBot DDoS, também conhecido como PerlBot, tem como alvo servidores Linux SSH mal gerenciados, de acordo com pesquisadores da ASEC (AhnLab Security Emergency response Center).

O ASEC descobriu essa nova variante do malware ShellBot empregado nessa nova campanha que visa servidores Linux SSH. O ShellBot , também conhecido como PerlBot, é um bot DDoS baseado em Perl que usa o protocolo IRC para comunicações C2.

Malware ShellBot mira em servidores SSH Linux

O ShellBot executa ataques de força bruta SSH em servidores que possuem a porta 22 aberta, ele usa um dicionário contendo uma lista de credenciais SSH conhecidas.

Acredita-se que as cepas de malware ShellBot que serão abordadas neste post tenham sido instaladas depois que os agentes de ameaças usaram credenciais de conta que foram obtidas por meio do uso de scanners e malware SSH BruteForce em sistemas de destino.

Depois de escanear os sistemas que possuem a porta operacional 22s, os agentes de ameaças procuram sistemas onde o serviço SSH está ativo e usam uma lista de credenciais de contas SSH comumente usadas para iniciar seu ataque de dicionário.

ASEC

Abaixo está uma lista das credenciais de conta usadas pelos operadores do ShellBot para comprometer os servidores de destino:

Os pesquisadores categorizaram o ShellBot em três grupos diferentes, já que os agentes de ameaças podem criar suas próprias versões: LiGhT’s Modded perlbot v2, DDoS PBot v2.0 e PowerBots (C) GohacK. O perlbot v2 modificado da LiGhT e o DDoS PBot v2.0 suportam vários comandos de ataque DDoS usando os protocolos HTTP, TCP e UDP. O PowerBots (C) GohacK oferece suporte a recursos de backdoor, incluindo recursos de shell reverso e download de arquivos.

Os pesquisadores recomendam usar senhas fortes para contas de administrador e alterá-las periodicamente para proteger o servidor Linux de ataques de força bruta e ataques de dicionário. Eles também recomendam manter os servidores atualizados e usar programas de segurança.

Se o ShellBot estiver instalado, os servidores Linux podem ser usados como Bots DDoS para ataques DDoS contra alvos específicos após receber um comando do agente da ameaça. Além disso, o agente da ameaça pode usar vários outros recursos de backdoor para instalar malware adicional ou lançar diferentes tipos de ataques a partir do servidor comprometido.

O Linux vem sendo alvo de muitos ataques de malwares nos últimos meses e as pessoas precisam estar atentas e protegerem os seus sistemas dessas ameças “invisíveis”.

Acesse a versão completa
Sair da versão mobile