Onderzoek: één groep achter 80% SSH-aanvallen
Aanvallen tegen SSH-servers vinden al jaren plaats, maar onderzoekers stellen nu dat 80% van de brute force-aanvallen, waarbij er via grote aantallen gebruikersnamen en wachtwoorden wordt geprobeerd in te loggen, het werk van één groep is. De groep wordt aangeduid als "SSHPsychos" en "Group 93" en kwam onlangs nog in het nieuws door onderzoek van Cisco en Level 3.
Ondanks de publicatie en aandacht die het genereerde ging de groep gewoon door met de SSH-aanvallen, aldus onderzoekers van het Marist College. Bij de aanvallen worden meer dan 300.000 unieke wachtwoorden geprobeerd. Via de manier waarop de aanvallen worden uitgevoerd konden de onderzoekers een aanvalspatroon samenstellen. Daaruit bleek dat vier van de vijf brute force-aanvallen van de groep afkomstig waren en dat de groep al meer dan vier miljoen aanvallen had uitgevoerd.
Zodra er toegang tot een server is verkregen wordt er uiteindelijk een DDoS-rootkit geïnstalleerd. De aanvallen van de groep werden vanaf specifieke subnetten uitgevoerd, maar daar kwam deze week opeens een einde aan. Het betekent echter niet het einde van de SSH-aanvallen, aangezien ander verkeer dat aan de groep is toe te schrijven juist toenam. Volgens de onderzoekers zoeken de aanvallers dan ook een andere locatie om hun werk voort te zetten.
Het zou leuk zijn om te weten om welke subnetten het gaat. Ik heb de laatste maanden flink wat Aziatische subnetten moeten blacklisten wegens voortdurende SSH brute forcing, met name van Bahreinse subnetten was zoveel verkeer afkomstig dat ik het hele land heb moeten blacklisten.
Werkwijze wat verlegd?
"Bende steelt 1,2 miljard wachtwoorden via SQL Injection"
https://www.security.nl/posting/397781/%22Bende+steelt+1%2C2+miljard+wachtwoorden+via+SQL+Injection%22
Kreeg ook erg veel last van IP adressen uit China
1. Inloggen met passwoord
2. Server configureren om root user over ssh niet toe te staan.
3. Root user uitschakelen
3. Dedicated user aanmaken die root privileges kan verkrijgen door hem toe te voegen aan de sudo'ers groep.
4. Inloggen met passwoord over ssh verbieden enkel toelaten met ssh sleutel to authenticeren.
5. Limiet op het aantal login attempts. Failure results in blacklisting
5. Liefst nog de ssh poort aanpassen om op een niet standaard poort te draaien.
Als je deze stappen doorlopen hebt ben je pretty much safe.
Nu kan er enkel geauthenticeerd worden via ssh keys.
Simpele vraag , simpel antwoord , Port knocking gebruiken.
my 2 cents
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!