Servidores SSH mal protegidos víctimas del botnet Chalubo

2 noviembre, 2018
17 Compartido 2,101 Visualizaciones

SophosLabs ha detectado una nueva botnet DDoS que se centra en servidores SSH mal protegidos. El objetivo del malware es comprometer el gran número de servidores SSH Linux de administración remota, que en estos días incluye un número creciente de dispositivos de Internet de las Cosas (IoT).

SophosLabs ha detectado una nueva botnet DDoS que se centra en servidores SSH mal protegidos. Llamada Chalubo (o ChaCha-Lua-bot) en referencia al uso del cifrador de flujo ChaCha, el malware comenzó a circular en agosto antes de que se viera un pico en su actividad a comienzos de septiembre.

El objetivo del malware es comprometer el gran número de servidores SSH Linux de administración remota, que en estos días incluye un número creciente de dispositivos de Internet de las Cosas (IoT).

Lo hace escaneando gran cantidad de direcciones IP, buscando dispositivos que ejecuten SSH en el puerto 22, intentando obtener las credenciales por fuerza bruta utilizando las habituales por defecto o probando contraseñas débiles.En el caso de Chalubo, el objetivo último es descargar y ejecutar malware diseñado para ejecutar ataques DDoS usando flujos DNS, UDP y SYN.

En el ejemplo analizado por SophosLabs, la temática IoT parece clara, como Timothy Easton de SophosLabs señala: »Como algunos de sus predecesores, Chalubo incorpora código de las familias de malware Xor.DDoS y Mirai».

¿De dónde viene?

SophosLabs detectó que el servidor de comando y control (C&C) del atacante extraía un segundo malware, Linux/DDoS-BD (Linux/BillGates), que ha tenido conexión con la botnet china Elknot, que fue vista por primera vez en 2014.

Sin embargo Chalubo tiene una temática aún mayor que es el propio SSH, que se supone que es una manera segura de gestionar remotamente casi todo lo que ejecute Linux.

Desafortunadamente, SSH no está siempre bien asegurado, lo que lo convierte como poco un objetivo atractivo, dado que SSH puede ser usado no solo para autenticarse si no también para la transferencia de ficheros.

¿Qué hacer?

Una manera de detectar Linux/Chalubo-A es buscar tráfico saliente hacía el C&C en el puerto 8852, aunque este no se usa siempre. También es posible detectar su presencia comprobando los logs de accesos fallidos o prestando atención a qué servidores han tenido un uso masivo de ancho de banda.

La prevención es incluso mejor asegurando SSH. Como en todos los ataques de fuerza bruta, Chaluvo florece con credenciales débiles, probando gran cantidad de ejemplos conocidos o posibles combinaciones.

Hay muchas maneras de minimizar un ataque de fuerza bruta SSH pero obviamente escoger una contraseña robusta es el primer paso. Incluso mejor, deja de usar contraseñas y emplea una llave de autenticación SSH, la cual tiene la ventaja de que puede ser usada en diferentes servidores.

Te podría interesar

Check Point Software se integra en el nuevo centro de seguridad Amazon Web Services
Actualidad
25 compartido2,804 visualizaciones
Actualidad
25 compartido2,804 visualizaciones

Check Point Software se integra en el nuevo centro de seguridad Amazon Web Services

José Luis - 9 enero, 2019

CloudGuard se ejecuta en AWS para dar protección adicional y nuevas capacidades de cumplimiento tras la adquisición de Dome9. Check…

xRapid trae tres nuevos socios de intercambio
Actualidad
23 compartido1,711 visualizaciones
Actualidad
23 compartido1,711 visualizaciones

xRapid trae tres nuevos socios de intercambio

José Luis - 11 septiembre, 2018

xRapid , el producto de pagos transfronterizos de Ripple que minimiza los costos de liquidez , está impulsado por la velocidad superior, el…

Fortinet aumenta su facturación en un 19%
Soluciones Seguridad
380 visualizaciones
Soluciones Seguridad
380 visualizaciones

Fortinet aumenta su facturación en un 19%

José Luis - 9 febrero, 2018

La facturación ha ascendido a 1.800 millones de dólares y los ingresos netos diluidos non-GAAP por acción crecieron un 42%…

Deje un comentario

Su email no será publicado