TokyoBlackHatNews

gbhackers.com 4分で読了

DShieldセンサーが検出したSSHワーム攻撃:クレデンシャルスタッフィングと多段階マルウェアを利用

DShieldハニーポットセンサーが最近、弱いパスワードを悪用してLinuxシステム間で拡散する自己複製型SSHワームによる完全な侵害シーケンスを記録しました。

この事件は、不適切なSSH管理とデフォルト認証情報の使用が、インターネット接続デバイスに対する最も持続的な脅威の一つであることを浮き彫りにしています。

2026年になっても、攻撃者は自動化されたクレデンシャルスタッフィングやブルートフォースツールを活用して、数秒以内にLinuxやIoTシステムを乗っ取り続けています。

最近のインターンシッププロジェクトにおいて、DShieldセンサーが対処した実際の攻撃チェーンは、クレデンシャルブルートフォース、多段階マルウェアドロップ、永続的バックドア作成、およびIRCチャネル経由のコマンド&コントロール(C2)動作を組み合わせたものでした。

侵害のタイムライン

  • 08:24:13: 攻撃者がIPアドレス 83.135.10.12 から接続。
  • 08:24:14: 認証情報 pi / raspberryraspberry993311 を使用したブルートフォース成功。
  • 08:24:15: 4.7 KB のbashスクリプトがSCP経由でアップロード。
  • 08:24:16: スクリプトが実行され、永続性が確立。
  • 08:24:17: 攻撃者が切断し、ワームがC2チェックインとアクティブスキャンを開始。

わずか4秒以内に、システムは完全にボットネットノードに変換されました。

Image
観測された攻撃のネットワーク図(出典:SANS.edu)。

接続は83.135.10.12から発信され、ドイツのISPであるVersatel Deutschlandに遡られました。攻撃者のSSHフィンガープリント(SSH-2.0-OpenSSH_8.4p1 Raspbian-5+b1、HASSH: ae8bd7dd09970555aa4c6ed22adbbf56)は、送信元が既に侵害された別のRaspberry Piであることを示唆しています。

デフォルト設定のままオンラインに放置されることが多いこのようなデバイスは、大規模ボットネットでの使用に理想的な標的となっています。

認証の数秒後、攻撃者は永続性を達成し、競合するマルウェアをオフにし、既知のC2ドメインをループバックアドレスにリダイレクトするようにシステムのhostファイルを変更するように設計された小さなbashスクリプトを展開しました。

次に、マルウェアは6つのIRCネットワークを介してオペレーターとの通信を確立し、#biretという名前のチャネルに参加しました。

アップロードおよび実行されたスクリプトは、DShieldセンサーによってキャプチャされた4.7KBのbashスクリプトでした。

Image
侵害後の動作(出典:SANS.edu)。

真正性を検証するために、ワームは埋め込まれたRSA鍵を使用して署名されたコマンドを検証しました。これは悪意のあるコード内での稀ではあるものの注目すべきセキュリティメカニズムです。

感染したデバイスはC2からの「PING」コマンドに「PONG」で応答し、ボットネットへの登録が成功したことを確認しました。

影響

ボットネットに参加した直後、マルウェアは2つのツールをインストールしました:zmap(高速ネットワークスキャナー)とsshpass(自動化されたSSHログイン用)。

Image
C2確立(出典:SANS.edu)。

これらを使用して、開いているSSHポートを探して100,000個のランダムなIPアドレスをスキャンしました。それぞれについて、ワームは2つの認証情報ペアを試行しました:

  • pi/raspberry。
  • pi / raspberryraspberry993311。

発見された脆弱なホストは同じ迅速なシーケンスで感染し、ワームがインターネット全体で自律的に拡散することを可能にしました。

クリプトマイナーはインストールされていませんでしたが、スクリプトには競合するクリプトマイニングプロセスを終了させる機能が含まれており、そのようなペイロードが後でコマンド時に展開される可能性があることを示しています。

この攻撃は3つの重要な教訓を強調しています:

  • 弱いパスワードまたはデフォルトパスワードが依然として大規模な侵害を引き起こしている。
  • IoTおよびホビイストデバイス、特にRaspberry Piは、依然として高価値なボットネットリソースである。
  • 自己拡散型ワームは、単一のホストが侵害されると数秒で静かに拡散できる。

セキュリティチームおよび家庭ユーザーは、以下によってこれらの脅威を軽減できます:

  • パスワード認証を無効にし、SSH鍵ベースのログインを強制する。
  • Raspberry Piデバイスからデフォルトのpiユーザーを削除する。
  • 繰り返されるSSH試行をブロックするためにfail2banのようなツールを有効にする。
  • IoTシステムをメインの本番ネットワークから分離する。

このキャプチャされた攻撃は、保護されていないLinuxデバイスがいかに迅速にグローバルボットネットに武器化されるかを示しています。デフォルトの認証情報を持つ単一のRaspberry Piでさえ、大規模な自動化された脅威の発射台として機能する可能性があります。

教訓はシンプルでありながら緊急です:強力な認証と堅牢化なしにSSHを公開したままにしないでください。

翻訳元: https://gbhackers.com/ssh-worm-exploit/

ソース: gbhackers.com
#C2通信 #IoT脆弱性 #Linuxセキュリティ #Raspberry Pi #SSHワーム #デフォルト認証情報 #ブルートフォース攻撃 #ボットネット #マルウェア #認証情報スタッフィング

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚