Servidores SSH mal protegidos víctimas del botnet Chalubo

2 noviembre, 2018
17 Compartido 1,958 Visualizaciones

SophosLabs ha detectado una nueva botnet DDoS que se centra en servidores SSH mal protegidos. El objetivo del malware es comprometer el gran número de servidores SSH Linux de administración remota, que en estos días incluye un número creciente de dispositivos de Internet de las Cosas (IoT).

SophosLabs ha detectado una nueva botnet DDoS que se centra en servidores SSH mal protegidos. Llamada Chalubo (o ChaCha-Lua-bot) en referencia al uso del cifrador de flujo ChaCha, el malware comenzó a circular en agosto antes de que se viera un pico en su actividad a comienzos de septiembre.

El objetivo del malware es comprometer el gran número de servidores SSH Linux de administración remota, que en estos días incluye un número creciente de dispositivos de Internet de las Cosas (IoT).

Lo hace escaneando gran cantidad de direcciones IP, buscando dispositivos que ejecuten SSH en el puerto 22, intentando obtener las credenciales por fuerza bruta utilizando las habituales por defecto o probando contraseñas débiles.En el caso de Chalubo, el objetivo último es descargar y ejecutar malware diseñado para ejecutar ataques DDoS usando flujos DNS, UDP y SYN.

En el ejemplo analizado por SophosLabs, la temática IoT parece clara, como Timothy Easton de SophosLabs señala: ”Como algunos de sus predecesores, Chalubo incorpora código de las familias de malware Xor.DDoS y Mirai”.

¿De dónde viene?

SophosLabs detectó que el servidor de comando y control (C&C) del atacante extraía un segundo malware, Linux/DDoS-BD (Linux/BillGates), que ha tenido conexión con la botnet china Elknot, que fue vista por primera vez en 2014.

Sin embargo Chalubo tiene una temática aún mayor que es el propio SSH, que se supone que es una manera segura de gestionar remotamente casi todo lo que ejecute Linux.

Desafortunadamente, SSH no está siempre bien asegurado, lo que lo convierte como poco un objetivo atractivo, dado que SSH puede ser usado no solo para autenticarse si no también para la transferencia de ficheros.

¿Qué hacer?

Una manera de detectar Linux/Chalubo-A es buscar tráfico saliente hacía el C&C en el puerto 8852, aunque este no se usa siempre. También es posible detectar su presencia comprobando los logs de accesos fallidos o prestando atención a qué servidores han tenido un uso masivo de ancho de banda.

La prevención es incluso mejor asegurando SSH. Como en todos los ataques de fuerza bruta, Chaluvo florece con credenciales débiles, probando gran cantidad de ejemplos conocidos o posibles combinaciones.

Hay muchas maneras de minimizar un ataque de fuerza bruta SSH pero obviamente escoger una contraseña robusta es el primer paso. Incluso mejor, deja de usar contraseñas y emplea una llave de autenticación SSH, la cual tiene la ventaja de que puede ser usada en diferentes servidores.

Te podría interesar

ESET se une al Comité de Asesores de Europol
Actualidad
24 compartido1,290 visualizaciones
Actualidad
24 compartido1,290 visualizaciones

ESET se une al Comité de Asesores de Europol

José Luis - 26 julio, 2018

ESET, uno de los mayores fabricantes de software de seguridad de la Unión Europea, ha anunciado que desde el 18…

BlueBorne: el exploit que podría afectar a miles de millones de dispositivos
Actualidad
214 visualizaciones
Actualidad
214 visualizaciones

BlueBorne: el exploit que podría afectar a miles de millones de dispositivos

Redacción - 20 septiembre, 2017

Fortinet insta a los usuarios de dispositivos con Bluetooth a estar pendientes del nuevo exploit, conocido como BlueBorne, que aprovecha las vulnerabilidades…

Juego de Tronos: hackean el perfil de la serie en Twitter y Facebook
Actualidad
196 visualizaciones
Actualidad
196 visualizaciones

Juego de Tronos: hackean el perfil de la serie en Twitter y Facebook

Redacción - 17 agosto, 2017

Las cuentas oficiales en Twitter y Facebook de Juego de Tronos y HBO han sido hackeadas por el grupo de…

Deje un comentario

Su email no será publicado