Sicherheitsexperten melden einen starken Anstieg von Cyberangriffen, bei denen Hacker SSH-Dienste auf Linux-Servern ausnutzen, um unautorisierten Zugriff zu erlangen und Malware zu verbreiten. SSH, das Protokoll für sichere Fernzugriffe, ist besonders anfällig für Brute-Force-Angriffe, wenn keine starken Passwörter und Zugriffskontrollen implementiert sind.
Angriffsdetails und Schwachstellen
Angreifer scannen gezielt den Standardport 22, der für SSH verwendet wird, um potenzielle Angriffsziele zu identifizieren. Sie setzen dabei Portscanner und Bannergrabber ein und verwenden anschließend SSH-Wörterbuchangriffs-Tools, um Benutzernamen- und Passwortkombinationen aus einer Wortliste auszuprobieren.
Bei einem erfolgreichen Login können die Angreifer Konfigurationsdaten stehlen und Malware installieren, die weitere anfällige Systeme aufspüren kann. Solche Aktivitäten werden häufig durch die Detektion mehrfacher Login-Fehlversuche identifiziert.
Erweiterte Gefahren und Malware-Verbreitung
Nachdem ein Server kompromittiert wurde, kann sich Malware wie Kinsing selbstständig weiterverbreiten, indem sie die gestohlenen Anmeldeinformationen verwendet, um Scans und Wörterbuchangriffe auf andere verwundbare Maschinen durchzuführen.
Kinsing-Malware nutzt SSH-Schlüssel-basierte Authentifizierung für laterale Bewegungen. Ein spezielles Skript der Malware, „spre.sh“, extrahiert Hostnamen, Ports, Benutzernamen und Schlüsseldatei-Standorte aus SSH-Konfigurationsdateien und Anmeldeinformations-Caches auf infizierten Systemen.
Anschließend versucht es, sich mit jeder Schlüssel-Benutzer-Kombination per SSH anzumelden. Bei erfolgreichem Login verwendet das Skript Tools wie curl oder wget, um ein schädliches Downloader-Skript herunterzuladen und auszuführen, wodurch Kinsing weiter im Netzwerk verbreitet wird.
Sicherheitsempfehlungen und Abwehrmaßnahmen
Sicherheitslösungen können verdächtige Befehle, die über SSH-Verbindungen ausgegeben werden, überwachen, um Administratoren dabei zu helfen, solche Angriffe zu identifizieren und zu stoppen, bevor sie sich ausbreiten können.
ASEC empfiehlt eine Datensammlungsstrategie zur Identifizierung potenzieller SSH-Ausbreitungspunkte, die sich auf Systemdateien und -prozesse konzentriert, die Benutzernamen, SSH-Hostnamen und öffentliche Schlüsselstandorte enthalten könnten.
Es ist wichtig, dass Unternehmen ihre Sicherheitsprotokolle verstärken, den Zugang zu SSH-Diensten einschränken und regelmäßige Updates durchführen, um ihre Netzwerke gegen solche fortschrittlichen Bedrohungen zu schützen.