Неопознанный вирус пощадил чиновников и военных
08:00 29/03/2018 Интернет и СМИ
Специалисты по кибербезопасности из компании Cisco Talos обнаружили новый вирус, который избирательно атакует машины, работающие на системе Linux. Инструмент был назван GoScanSSH: написанный на языке программирования Go, он ищет уязвимые серверы и избегает военных и правительственных сетей.
| „ | Ленточные черви не могут отличить вирус от банального брутфорсера, пытающегося подобрать пароль. А заголовок статьи - это просто диагноз. | “ |
Специалисты по кибербезопасности из компании Cisco Talos обнаружили новый вирус, который избирательно атакует машины, работающие на системе Linux. «Умный» инструмент был назван GoScanSSH. Об этом сообщается в блоге компании.
В имени, данном экспертами, описывается принцип работы вируса: он написан на языке программирования Go и ищет уязвимые серверы для удаленного доступа. В первой серии атак киберпреступники прописывали алгоритм нападения буквально вручную, используя более семи тысяч комбинаций пар логинов и паролей.
Они были нацелены на слабо защищенные учетные записи. При успешном подборе пароля система заражалась.
Разработчики специально прописали код таким образом, чтобы вредоносное программное обеспечение избегало военных и правительственных сетей. Избирательность вируса к своим жертвам, скорее всего, продиктована желанием не предавать атаки огласке.
Специалисты пока не могут точно ответить на вопрос о предназначении вируса. Его механизм, по мнению экспертов, похож на принудительный майнер криптовалюты, однако пока зараженные машины не были замечены в подобных действиях. Вероятно, первые зафиксированные действия вредоносного ПО могут быть лишь подготовкой к более масштабной атаке.
Комментирование разрешено только первые 24 часа.
Комментарии(27):
| 3 +0−0 | Всеволод Бояринов | 08:12:55 29/03/2018 |
Ленточные черви не могут отличить вирус от банального брутфорсера, пытающегося подобрать пароль. А заголовок статьи - это просто диагноз. | ||
| 1 +0−0 | Кеша | 08:39:33 29/03/2018 |
На системе Lunix? Хотя поскольку линукс - потомок Unix, так даже логичнее было бы. | ||
| 1 +0−0 | Андрей Степанов | 08:36:53 29/03/2018 |
Если у тебя открытый вовне SSH с паролем, да ещё паролем вида 123, то ты сам себе злобный буратино. | ||
| 1 +0−0 | Всеволод Бояринов | 08:34:52 29/03/2018 | ||||||
| ||||||||
Видел я эти вирусы. Только их нужно самому запускать, причем обязательно от рута, иначе не будут работать. Но до этого их нужно вручную скомпилировать, при чем под каждый дистрибутив Линукса отдельно. А там еще вечно ошибки компиляции всплывают, то компилятор не той версии, под которую вирус писался, то библиотек каких-то не хватает. В общем чтобы он заработал нужно быть админом 80-го уровня и еще немного программистом. Вот в Винде другое дело, вирус твой ПК сам заразит и сам сделает все что ему нужно, а ты и знать не будешь. Сразу видно, что система для пользователя разрабатывалась, куда там Линуксу! | ||||||||
| 0 +0−0 | Dmitry Vysotin | 10:43:07 29/03/2018 | ||||||
| ||||||||
Если уж так хочется разного - поставьте port knocking =) | ||||||||
| 0 +0−0 | Dmitry Vysotin | 10:35:14 29/03/2018 | ||||||
| ||||||||
А кто говорит про "ВСЕ" но как работает SSH, что такое криптография, что такое сетевое взаимодействие, всякие Diffie-Hellman и SHA256 (стандарт у современного SSH) я таки знаю. И совершенно не вижу ничего плохого в SSH. Максимум что нужно делать от дефолта это перевесить его на не стандартный порт (и то чтоб в лог лишнего не срало). Дефолтный конфиг sshd более чем отвечает стандартам безопасности. В 90% случаев этого вполне достаточно (см бритву оккама). | ||||||||
| 0 +0−0 | Андрей Степанов | 10:30:35 29/03/2018 | ||||||
| ||||||||
Из моего опыта: те кто считает, что уже всё знает, как правило допускают глупые ошибки, которые не допускают новички, ревностно следующие инструкциям. Это не камень в ваш огород, но лучше не быть таким самоуверенным, это может выйти боком. | ||||||||
| 0 +0−0 | Dmitry Vysotin | 10:27:32 29/03/2018 | ||||||
| ||||||||
Знают, но они пишут их для вполне конкретной целевой аудитории. Из опыта: в 95% случаев, любых BP придерживается только тот кто ещё учится, а не тот кто уже знает КАК это работает. Особенно это справедливо в среде взаимодействия пользователь - система. | ||||||||
| 0 +0−0 | Андрей Степанов | 10:23:30 29/03/2018 | ||||||
| ||||||||
Т.е. те кто пишет рекомендации по вашему мнению тоже не знают, что как и зачем работает?))) | ||||||||
| 0 +0−0 | Dmitry Vysotin | 10:00:58 29/03/2018 | ||||||
| ||||||||
Ну вообще-то я ИБ. Набор рекомендаций, так называемые BP, это и есть в основном хаутушки для тех кто не знает что как и зачем работает. И каким образом данные пользователя вообще относятся к разговору? "ssh brutelogin@localhost brutelogin@localhost's password: Permission denied, please try again. " какие данные пользователя вы отсюда можете получить? =) | ||||||||
| 0 +0−0 | Андрей Степанов | 09:56:15 29/03/2018 | ||||||
| ||||||||
Ну вы не видите, а профи в ИБ видят: почитайте любые best practices, там стандартный набор рекомендаций - отключить первый SSH, отключить вход по паролю, сгенерить ключи, выставить пассфразу посложнее, переставить прослушку на другой порт. Запрет рута это правильно, но целью взлома может быть не доступ в систему, а данные пользователя, да и эксплойты позволяющие получить рут из юзерспейса нельзя исключить. Впрочем дело ваше, я говорю про то как сам делаю, абсолютная безопасность все равно не достижима, может для вас это всё и избыточно. | ||||||||
| 0 +0−0 | rust | 09:51:57 29/03/2018 |
"[...] программное обеспечение избегало военных и правительственных сетей. Избирательность вируса к своим жертвам, скорее всего, продиктована желанием не предавать атаки огласке." А ещё более вероятно, что избирательность продиктована принадлежностью вируса спецслужбам. | ||
| 0 +0−0 | Dmitry Vysotin | 09:49:08 29/03/2018 | ||||||
| ||||||||
я даже больше скажу, сертификаты нужны только в одном случае - статически настроеные девайсы (например SSH туннель между двух хостов.) | ||||||||
| 0 +0−0 | Dmitry Vysotin | 09:46:16 29/03/2018 | ||||||
| ||||||||
Нет, лучше это бритва оккама. Никаких особых выгод от сертификата который надо таскать с собой и/или хранить каким-то образом я не вижу. Ессесно как я и сказал выше, запретить рута, ограничить количество попыток с хоста, использовать не стандартный логин и нормальный пароль. Я тебе больше того скажу, даже зная мой логин ты пароль будешь подбирать вечность методом брута. | ||||||||
| 0 +0−0 | Андрей Степанов | 09:42:15 29/03/2018 | ||||||
| ||||||||
Ммм, а что тут обосновывать? Что асимметричная криптография с открытым/закрытым ключами, которые генерируется случайно лучше пароля? | ||||||||
| 0 +0−0 | Dmitry Vysotin | 09:34:59 29/03/2018 | ||||||
| ||||||||
и обосновать сможешь? а то звучит как будто школота поставивший пару линупсов по пошаговой хаутушке... | ||||||||
| 0 +0−0 | Азаров Илья | 09:34:32 29/03/2018 | ||||||
| ||||||||
на го бинари статические. поедет везде | ||||||||
| 0 +0−0 | Андрей Степанов | 09:11:29 29/03/2018 | ||||||
| ||||||||
Нормальный пароль это сертификат. Не должно быть открытого вовне SSH с доступом только по паролю. Ну на крайняк fail2ban настроить. | ||||||||
| 0 +0−0 | Valery Beloglazov | 08:59:45 29/03/2018 | ||||||
| ||||||||
По умолчанию ssh для root не доступен. А много ли можно навредить под учеткой юзера? И админ, если не ламер, не задаст пароли которые можно подобрать. | ||||||||
| 0 +0−0 | Dmitry Ilyin | 08:58:50 29/03/2018 |
Поставлю ка я Убунту в соседний с Виндой раздел, буду в ней финансовые операции производить. А Касперского в Винде отключу. | ||