Cyberthreat.id - Pelaku ancaman yang tidak diketahui memaksa server Linux SSH menginstal berbagai malware, termasuk bot Tsunami DDoS (distributed denial of service), ShellBot, pembersih log, alat eskalasi hak istimewa, dan penambang koin XMRig (Monero).

“SSH (Secure Socket Shell) adalah protokol komunikasi jaringan terenkripsi untuk masuk ke mesin jarak jauh, mendukung tunneling, penerusan port TCP, transfer file, dll.,” tulis BleepingComputer.

Ditambahkan bahwa administrator jaringan biasanya menggunakan SSH untuk mengelola perangkat Linux dari jarak jauh, melakukan tugas seperti menjalankan perintah, mengubah konfigurasi, memperbarui perangkat lunak, dan memecahkan masalah.

Namun, jika server tersebut kurang aman, mereka mungkin rentan terhadap serangan brute force, memungkinkan pelaku ancaman untuk mencoba banyak kombinasi nama pengguna-sandi potensial hingga ditemukan kecocokan.

Tsunami di server SSH

Pusat Tanggap Darurat Keamanan AhnLab (ASEC) baru-baru ini menemukan kampanye jenis ini, yang meretas server Linux untuk meluncurkan serangan DDoS dan menambang cryptocurrency Monero.

Penyerang memindai Internet untuk server Linux SSH yang terbuka untuk umum dan kemudian memaksa pasangan nama pengguna-kata sandi untuk masuk ke server.

Begitu mereka membangun pijakan di titik akhir sebagai pengguna admin, mereka menjalankan perintah berikut untuk mengambil dan mengeksekusi kumpulan malware melalui skrip Bash.

ASEC mengamati bahwa penyusup juga membuat sepasang kunci SSH publik dan pribadi baru untuk server yang dilanggar untuk mempertahankan akses meskipun kata sandi pengguna diubah.

Malware yang diunduh ke host yang dikompromikan termasuk botnet DDoS, pembersih log, penambang cryptocurrency, dan alat eskalasi hak istimewa.

Dimulai dengan ShellBot, bot DDoS berbasis Pearl ini menggunakan protokol IRC untuk komunikasi. Ini mendukung pemindaian port, UDP, TCP, dan serangan banjir HTTP dan juga dapat mengatur shell terbalik.

Malware botnet DDoS lain yang terlihat dalam serangan ini adalah Tsunami, yang juga menggunakan protokol IRC untuk komunikasi.

Versi tertentu yang dilihat oleh ASEC adalah "Ziggy", sebuah varian Kaiten. Tsunami tetap ada di antara reboot dengan menulis sendiri di "/etc/rc.local" dan menggunakan nama proses sistem yang khas untuk disembunyikan.

Selain SYN, ACK, UDP, dan serangan DDoS banjir acak, Tsunami juga mendukung serangkaian perintah kendali jarak jauh, termasuk eksekusi perintah shell, membalikkan shell, mengumpulkan informasi sistem, memperbarui dirinya sendiri, dan mengunduh muatan tambahan dari sumber eksternal.

Berikutnya adalah MIG Logcleaner v2.0 dan Shadow Log Cleaner, kedua alat yang digunakan untuk menghapus bukti penyusupan pada komputer yang disusupi, sehingga kecil kemungkinan korban menyadari infeksi dengan cepat.

Alat-alat ini mendukung argumen perintah khusus yang memungkinkan operator menghapus log, mengubah log yang ada, atau menambahkan log baru ke sistem.

Malware eskalasi hak istimewa yang digunakan dalam serangan ini adalah file ELF (Executable and Linkable Format) yang meningkatkan hak istimewa penyerang menjadi hak pengguna root.

Terakhir, pelaku ancaman mengaktifkan penambang koin XMRig untuk membajak sumber daya komputasi server untuk menambang Monero di kumpulan tertentu.

Untuk bertahan dari serangan ini, pengguna Linux harus menggunakan kata sandi akun yang kuat atau, untuk keamanan yang lebih baik, memerlukan kunci SSH untuk masuk ke server SSH.

Selain itu, nonaktifkan login root melalui SSH, batasi rentang alamat IP yang diizinkan untuk mengakses server, dan ubah port SSH default menjadi sesuatu yang tidak biasa yang akan dilewatkan oleh bot otomatis dan skrip infeksi.[]