DDoS-malware infecteert Linux- en Windowscomputers
Sinds begin december is er een nieuw botnet actief dat zowel Linux- als Windowscomputers infecteert en gebruikt voor het uitvoeren van gedistribueerde Denial of Service (DDoS)-aanvallen. Het botnet en de bijbehorende malware werden door het Poolse Computer Emergency Response Team (CERT) ontdekt.
De malware infecteert Linuxcomputers via SSH, waarbij er een woordenboekaanval wordt gebruikt om toegang tot het systeem te krijgen. Zodra de aanvaller is ingelogd, wordt er een bot-bestand gedownload en uitgevoerd, die de computer onderdeel van het botnet maakt. Volgens het Poolse CERT is de malware "relatief eenvoudig", aangezien die alleen in staat is om DDoS-aanvallen uit te voeren, waarbij het voornamelijk DNS Amplificatie gebruikt.
Eenzelfde soort bot infecteert ook Windowscomputers, alleen gebruikt de malware hier verschillende stappen. Eerst wordt er een bestand op het systeem geplaatst en uitgevoerd, dat vervolgens een nieuwe Windows service registreert, die elke keer bij het starten van het systeem automatisch wordt geladen. Hierna wordt er verbinding met de Command & Control-server van de aanvallers gemaakt. Hoe de Windowsversie zich verspreidt laat het Poolse CERT niet weten.
Bandbreedte
Aangezien de bot alleen voor het uitvoeren van DDoS-aanvallen wordt gebruikt zijn de makers achter het botnet vooral opzoek naar machines met veel bandbreedte. Het Poolse CERT denkt dat dit ook de reden is dat er twee versies van de bot zijn. Linux is namelijk een populair besturingssysteem voor servers, die vaak over meer bandbreedte dan thuiscomputers beschikken.
Virusscanners blijken de Windowsversie van de bot vrij goed te detecteren. Van de 48 virusscanners op VirusTotal werd de malware door 34 scanners herkend. In het geval van de Linuxversie is dit een ander verhaal. Die werd door slechts 3 van de 47 virusscanners opgemerkt.
Daar is namelijk rekening mee gehouden.
Detectie voor de Linux variant is inderdaad erg laag:
snappen ze hier niet, evenals het feit dat ze hier steevast beweren dat chrome browser automatisch update
Zo dames, hebben jullie een gezellig onderonsje :)
Les 1 voor Linux-gebruikers: indien niet benodigd, SSH blokkeren in de firewall-rules of service deactiveren.
De doelgroep zijn volgens het artikel niet zozeer de pc's met Linux, maar de servers die Linux gebruiken. Ik heb thuis ook een nas staan met Linux erop. Daar laat bij mij de firewall alleen SSH verkeer van binnen het netwerk toe. Veel servers moeten echter poort 22 open hebben en moeten gewoon goede wachtwoorden of certificaten gebruiken.
Tja, je hebt mensen die oogkleppen voor hebben. Linux is inderdaad veel veiliger. Waarom? Omdat je zelfs met het root wachtwoord niet vanaf het netwerk kunt inloggen. Zelfs niet vanaf het lokale netwerk.
Als je dan nog voor de 'afstand' users met public en private keys werkt, dan kunnen ze alle woordenboeken van de wereld proberen maar dat gaat niet lukken.
Voordat je weer wat roept, verdiep je er dan eerst eens in.
Overigens is het een merkwaardig artikel; "ssh woordenboekaanval" ?!?, "eerst wordt een bestand geplaatst" ?!?. Zo lust ik er ook nog wel een paar.
Ben jij een kameel dan?
Elk systeem is door de gebruiker van dat systeem in een keer open te zetten als je niet weet wat je doet.
Of dit nu Windows, Linux OSX, xBSD of wat dan ook is.
De kern van dit bericht is, dat nu o.a. Linux steeds populairder wordt ook dat OS op de korrel genomen
gaat worden en elke mogelijkheid tot misbruik toegepast zal gaan worden.
Dat kun je niet in zijn algemeenheid stellen. Ik heb zelf een Synology nas, die zoals de meeste nassen op Linux draait. Als je daar de installation wizzard op los laat, worden allerlei poorten in de router naar de nas geforward, incl poort 22. En standaard staat de firewall uit en is het default wachtwoord 'admin' als ik me niet vergis. Dus als iemand alle IP adressen op poort 22 scant, zal hij vast wel een keer beet hebben.
Dus elke digibeet die gewoon overal op 'ja' klikt tijdens de installatie, maakt zijn Linux systeem kwetsbaar. Dus de bewering dat Linux per definitie veilig is, is onzin. Het ligt aan de installatie en met hoeveel kennis de installatie gebeurd.
root en is men eenmaal binnen dan is de volgende stap een local privilege escalation exploit of gewoon
het root wachtwoord zoeken of zelfs gewoon sudo gebruiken (staat vaak gewoon open).
Je moet bij geen enkel OS nooit-nooit zeggen..Dat is niet alleen veel eerlijker, je draait een ander ook geen loer mee.
Kijk... een iemand die het begrijpt, de rest "zemelt" gewoon verder.... Dream on!
Wordt je nas niet direct gehackt, dan wel indirect via je eigen pc op basis van een java exploit, daar kan je op wachten.
De verschillen van inzicht rondom Linux zijn in ieder geval daarmee gelijk een stuk minder interessant.
Voor Synology bezitters dit nog interessant?
http://www.andreafabrizi.it/?exploits
http://www.securityfocus.com/archive/1/528543
Dat kun je niet in zijn algemeenheid stellen. Ik heb zelf een Synology nas, die zoals de meeste nassen op Linux draait. Als je daar de installation wizzard op los laat, worden allerlei poorten in de router naar de nas geforward, incl poort 22. En standaard staat de firewall uit en is het default wachtwoord 'admin' als ik me niet vergis. Dus als iemand alle IP adressen op poort 22 scant, zal hij vast wel een keer beet hebben.
Dus elke digibeet die gewoon overal op 'ja' klikt tijdens de installatie, maakt zijn Linux systeem kwetsbaar. Dus de bewering dat Linux per definitie veilig is, is onzin. Het ligt aan de installatie en met hoeveel kennis de installatie gebeurd.
In zijn algemeenheid is Linux standaard toch veiliger; volgens mij is er geen distributie waarbij je als root kunt inloggen via het netwerk. Dat dat bij jouw Synology nasje wel kan, ligt niet aan Linux maar aan de fabrikant (of gebruiker) en je kunt dit soort fabrikanten toch niet als 'algemeenheid' beschouwen, toch?
Je kan dan alleen inloggen met een private-key die matched met de public-key op het systeem.
Aanvallers kunnen dan proberen om wachtwoorden in te voeren maar lukken doet het niet.
Het is bovendien erg gemakkelijk, niet typen maar gewoon rechtstreeks op je systeem inloggen.
Voorwaarde is wel dat je je private-key voor jezelf houdt en beveiligd met een goed wachtwoord.
In zijn algemeenheid is Linux standaard toch veiliger; volgens mij is er geen distributie waarbij je als root kunt inloggen via het netwerk. Dat dat bij jouw Synology nasje wel kan, ligt niet aan Linux maar aan de fabrikant (of gebruiker) en je kunt dit soort fabrikanten toch niet als 'algemeenheid' beschouwen, toch?
moet doen is die onhandige UAC uitzetten en zorgen dat de dagelijks gebruiker een Administrator is.
permitrootlogin no in configuratiebestand /etc/ssh_config
denyhosts script geinstalleerd http://denyhosts.sourceforge.net/
fail2ban staat ook geinstalleerd http://www.fail2ban.org/wiki/index.php/Main_Page
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
