7 lutego 2019, Mateusz Tomczak

Niebezpieczny Shellbot atakuje system Linux

Kategoria: Ciekawostki Strefy Bezpieczeństwo, Tematyka: Linux Cyberprzestępcy Kryptowaluty

Złośliwe oprogramowanie przygotowano w celu wydobywania kryptowaluty Monero. Dlaczego padło akurat na nią?

O działalności cyberprzestępców mamy okazję wspominać (niestety) bardzo często. Właśnie pojawiło się kolejne zagrożenie, tym razem wycelowane w platformę Linux.

Informacje na jego temat zostały opublikowane przez zespół badawczy JASK Special Ops. Chodzi o nową, zmodyfikowaną wersję trojana Shellbot, o którym pierwszy raz można było usłyszeć w listopadzie zeszłego roku. Wygląda na to, że stoją za nią rumuńscy cyberprzestępcy z grupy Outlaw. Jaki cel im przyświeca? Złośliwe oprogramowanie przygotowano w celu wydobywania kryptowaluty Monero, oczywiście bez wiedzy zaatakowanych użytkowników.

Wykorzystywane są tutaj ataki DoS (Denial of Service) oraz brute force na usługi SSH. Dotyczą przede wszystkim przedsiębiorstw i serwerów, a możliwości samego trojana określane są jako całkiem spore. Potrafi on między innymi zbierać dane systemowe i osobiste, kończyć i uruchomiać procesy czy otwierać polecenia powłoki.

Dlaczego padło akurat na tę kryptowalutę? Monero jest bardzo lubiana przez cyberprzestępców z dwóch powodów. Przede wszystkim zapewnia anonimowość przeprowadzanych transakcji, a poza tym dość łatwo wydobywać ją bez wiedzy zaatakowanych użytkowników.

Póki co doniesienia o atakach napływają głównie z Azji Wschodniej i Ameryki Łacińskiej. Najbardziej niepokojące jest to, iż pojawia się ich coraz więcej. To zresztą ogólny trend, szkodliwego programowania związanego z wydobywaniem kryptowalut przybywa lawinowo, na całym świecie i dotyczy to nie tylko systemu Linux.

Źródło: zdnet

Komentarze

  • Damian Szymański, #

    Nie systemy Linux, lecz oprogramowanie PHP. Dziura jest w samym PHP i wszystko na czym działa PHP jest wrażliwe na atak. Trojan zaś w żaden sposób nie atakuje/infekuje Linuksa lecz właśnie owe PHP.
    Tutaj można poczytać o samej luce CVE-2018-20062: https://www.cvedetails.com/cve/CVE-2018-20062/

  • Kenjiro, #

    CVS, który podałeś dotyczy luki w NoneCms i nie jest powiązany z Shellbotem, aczkolwiek jest możliwe użycie tej luki do implantacji Shellbota, co ma sens, jeśli uda się użyć konta www do dalszego rozprzestrzenienia, co nie zawsze jest możliwe.
    Najprostszą drogą do złapania Shellbota są słabe hasła na użytkownikach z dostępem do SSH, a tu wystarczy mieć odpowiednio długie i niesłownikowe hasła lub najlepiej wyłączyć logowanie hasłem, a włączyć - kluczem.
    Ewentualnie fail2ban, aby maksymalnie wydłużyć czas skanowania w sytuacji, w której nie ma się wpływu na użytkowników (np. hosting).

  • Kenjiro, #

    Widzę, że niektórym nie jest w smak fakt, iż Linuksa łatwo zabezpieczyć...
    Ten Shellbot to prawie jak wirus grzecznościowy, olej podstawowe zasady bezpieczeństwa, włącz uwierzytelnianie hasłem przez SSH (na świeżych systemach jest domyślnie wyłączone - nie dotyczy oczywiście hostingów), nie używaj kluczy itp...

  • BrumBrumBrum, #

    tego clickbajta widzę już na któryms z kolei portalu. fakt faktem, chodzi o dziurawe php z dziurawym frameworkiem. wirus atakuje wyłącznie to, do czego php ma dostęp. więc jaka rada? wystarczy zamknąć to coś w kontenerze np. w dockerze, i lwia większość problemów pozamiatana, bo w kontenerze harmonogram zadań może być całkowicie wycięty, i inne takie.

    widziałem też porady aby zmienić distro i inne takie, bo jest stare php. równie dobrze można jednak użyć kontenera, i paczki z aktualnym załatanym php.

  • JanuszJestem, #

    Nie do końca rozumiem czemu uważasz, że to clickbait.

    Przecież ataki są, dziurę jakąś znaleźli i z niej korzystają. To jest fakt. A ty insynuujesz, że ten fakt to nie fakt tylko jakaś fanaberia, bo przecież wystarczy to czy tamto. Z 99% dziur mogłaby być bezużyteczna gdyby tylko ktoś zrobił to czy tamto, albo się dostosował do tego czy tamtego. No ale na tym to wszystko polega, że ludzie tego nie robią i ataki są możliwe. Jak nie jedna dziura to inna, jak nie w docelowym oprogramowaniu to w innym, które pośrednio da dostęp.

    Czy to oznacza, że jakikolwiek system operacyjny jest niebezpieczny? Nie, to oznacza, że trzeba umieć korzystać z danych narzędzi, żeby być w miarę bezpiecznym.

  • BrumBrumBrum, #

    bo widzę identyczną treść, niemal przedruk lub tłumaczenie tu i ówdzie. bez jakiej kolwiek własnej analizie. coś na zasadzie PAP czy PAI wszystkim rozsyła info o jakimś zdarzeniu, i wszyscy trąbią o tym samym, bez wnikania co to jest.

  • JanuszJestem, #

    Ale tu nie ma co wnikać, to jest krótkie info o zdarzeniu. Jakiej analizy chcesz? Że gdyby ktoś to zabezpieczył to można byłoby tego unikąć? 90% negatywnych zdarzeń można by było uniknąć gdyby ktoś wcześniej pomyślał lub się wysilił. Codzienna prasa to nie jest miejsce na wyciąganie wniosków czy analizy. Jak cię temat interesuje to idziesz do bardziej specjalistycznych źródeł.

  • Kenjiro, #

    To nie ma nic wspólnego z PHP. Wspomniana wyżej dziura jest w kodzie strony, która jest napisana w PHP, a równie dobrze mogłaby być napisana w C, Pythonie czy Perlu.
    Tak jak luka w Drupalu, czy Wordpressie to luka w Drupalu/Wordpressie, a nie w PHP.
    Poza tym Shellbot korzysta z różnych luk i słabości, a nie tylko z jednego wektora jakim jest luka w NoneCms.

  • dziobolek, #

    Oj, Panie Redachtórze - do poprawki:
    "...ataków mających na celu wydobywanie kryptowalutów ..."

Dodaj komentarz

Dodawanie komentarzy tylko w wersji dla PC. Już wkrótce wersja mobilna.

Nie przegap

Szanowny Czytelniku.

Aby dalej móc dostarczać Ci materiały redakcyjne i udostępniać nasze usługi, pozostając w zgodzie z zasadami RODO, potrzebujemy również zgody na ewentualne dopasowywanie treści marketingowych do Twojego zachowania. Dbamy o Twoją prywatność. Nie zwiększamy zakresu naszych uprawnień. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności. Dowiedz się więcej.