Servidores SSH mal protegidos víctimas del botnet Chalubo

2 noviembre, 2018
17 Compartido 1,864 Visualizaciones

SophosLabs ha detectado una nueva botnet DDoS que se centra en servidores SSH mal protegidos. El objetivo del malware es comprometer el gran número de servidores SSH Linux de administración remota, que en estos días incluye un número creciente de dispositivos de Internet de las Cosas (IoT).

SophosLabs ha detectado una nueva botnet DDoS que se centra en servidores SSH mal protegidos. Llamada Chalubo (o ChaCha-Lua-bot) en referencia al uso del cifrador de flujo ChaCha, el malware comenzó a circular en agosto antes de que se viera un pico en su actividad a comienzos de septiembre.

El objetivo del malware es comprometer el gran número de servidores SSH Linux de administración remota, que en estos días incluye un número creciente de dispositivos de Internet de las Cosas (IoT).

Lo hace escaneando gran cantidad de direcciones IP, buscando dispositivos que ejecuten SSH en el puerto 22, intentando obtener las credenciales por fuerza bruta utilizando las habituales por defecto o probando contraseñas débiles.En el caso de Chalubo, el objetivo último es descargar y ejecutar malware diseñado para ejecutar ataques DDoS usando flujos DNS, UDP y SYN.

En el ejemplo analizado por SophosLabs, la temática IoT parece clara, como Timothy Easton de SophosLabs señala: ”Como algunos de sus predecesores, Chalubo incorpora código de las familias de malware Xor.DDoS y Mirai”.

¿De dónde viene?

SophosLabs detectó que el servidor de comando y control (C&C) del atacante extraía un segundo malware, Linux/DDoS-BD (Linux/BillGates), que ha tenido conexión con la botnet china Elknot, que fue vista por primera vez en 2014.

Sin embargo Chalubo tiene una temática aún mayor que es el propio SSH, que se supone que es una manera segura de gestionar remotamente casi todo lo que ejecute Linux.

Desafortunadamente, SSH no está siempre bien asegurado, lo que lo convierte como poco un objetivo atractivo, dado que SSH puede ser usado no solo para autenticarse si no también para la transferencia de ficheros.

¿Qué hacer?

Una manera de detectar Linux/Chalubo-A es buscar tráfico saliente hacía el C&C en el puerto 8852, aunque este no se usa siempre. También es posible detectar su presencia comprobando los logs de accesos fallidos o prestando atención a qué servidores han tenido un uso masivo de ancho de banda.

La prevención es incluso mejor asegurando SSH. Como en todos los ataques de fuerza bruta, Chaluvo florece con credenciales débiles, probando gran cantidad de ejemplos conocidos o posibles combinaciones.

Hay muchas maneras de minimizar un ataque de fuerza bruta SSH pero obviamente escoger una contraseña robusta es el primer paso. Incluso mejor, deja de usar contraseñas y emplea una llave de autenticación SSH, la cual tiene la ventaja de que puede ser usada en diferentes servidores.

Te podría interesar

Alejandro de la Granja, nuevo director comercial de InnoTec, la empresa de ciberseguridad de Entelgy
Empleo
10 compartido1,339 visualizaciones
Empleo
10 compartido1,339 visualizaciones

Alejandro de la Granja, nuevo director comercial de InnoTec, la empresa de ciberseguridad de Entelgy

Vicente Ramírez - 26 abril, 2018

El experto en negocio internacional pretende contribuir a responder de forma más efectiva a las demandas del sector de la…

VPN: La fórmula para conectarte a tu equipo de forma remota y segura
Soluciones Seguridad
12 compartido1,374 visualizaciones
Soluciones Seguridad
12 compartido1,374 visualizaciones

VPN: La fórmula para conectarte a tu equipo de forma remota y segura

Vicente Ramírez - 20 agosto, 2018

Desde INCIBE (Instituto Nacional de Ciberseguridad), explican las características de una VPN y el por qué debemos de utilizarla cuando…

¿Cómo gestionamos una brecha de seguridad en la Nube?
Actualidad
27 compartido932 visualizaciones
Actualidad
27 compartido932 visualizaciones

¿Cómo gestionamos una brecha de seguridad en la Nube?

Vicente Ramírez - 14 noviembre, 2018

ISMS Forum Spain se complace en invitarle al Octavo Encuentro Anual de Cloud Security Alliance (CSA ES), para profesionales de…

Deje un comentario

Su email no será publicado