Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Level 3 y Cisco se asocian contra el malware SSHPsychos

Level 3 y Talos Group de Cisco trabajaron en conjunto para investigar y mitigar el riesgo provocado por el malware SSHPPsychos.

Para investigar y mitigar el riesgo provocado por el malware denominado SSHPPsychos, Level 3 y Talos Group de Cisco...

trabajaron en conjunto realizando un amplio escaneo de internet y estableciendo las pautas para lograr minimizar los ataques desde la web.

La amenaza fue detectada por primera vez a finales de septiembre de 2014, cuando el blog Malware Must Die! detalló un nuevo malware en Linux y rootkit utilizado para ataques DDoS. A pesar de su clara descripción, la amenaza persistió. Más de cuatro meses después, FireEye identificó una inusual ataque de fuerza bruta SSH intentando cargar el mismo malware, que en ese entonces todavía era una herramienta rootkit y DDoS muy eficaz, al combinarse con una fuente SSH durante los intentos de conexión.

La investigación

El Grupo Talos de Cisco le dio seguimiento a esta campaña y descubrió que, en el primer trimestre de 2015, hubo más intentos de autenticación de este agresor (103.41.125.0/23 y 43.255.190.0/23) que el resto de los hosts combinados. A finales de marzo de 2015, Level 3 inició conversaciones con Talos Group de Cisco para trabajar juntos en la mitigación de esta amenaza en Internet. Datos de la red de Level 3 confirmaron la escala masiva que este atacante logra cuando se compara con el tráfico global para SSH, representando más del 35% del total del tráfico SSH de Internet.

Los datos de los investigadores de Talos Group permitieron identificar las acciones a realizar después de que ocurrió una autenticación exitosa SSH mediante fuerza bruta. Tras descargar los archivos, el equipo de Level 3 confirmó la información proporcionada en septiembre por el blog Malware Must Die!, asegurándose que nada estructural había cambiado en el malware. El equipo de Level 3 lo cargó como raíz dentro de un CentOS 7 VM y observó su funcionamiento.

Durante un período de dos semanas, a finales de marzo y principios de abril, se supervisó un gran número de IPs escaneados por los atacantes y se identificó los proveedores de internet que eran participantes activos del botnet. Al observar a los hosts del  botnet, se pudo identificar que la comunicación C2 ocurría a través de los puertos TCP 8000 a 8008 y 3306, como se observa en la versión actual del malware. Sin embargo, varios de los hosts seguían comunicándose a través de los puertos TCP 3502-3508 como en las versiones anteriores.

Después de evaluar la enorme escala, impacto y duración, se trabajó para dejar fuera de Internet a esté código malicioso. El 7 de abril, Level 3 bloqueó todo el tráfico del agresor dentro de sus redes globales, asegurándose que ningún tráfico hacia el atacante fuera enviado a través del Level 3. Se tocó base con otros operadores para informarles sobre esta amenaza y las medidas que se habían llevado a cabo para que también ayudaran a removerlo permanentemente de Internet.

También se monitorearon las acciones del atacante para estar alertas ante cualquier cambio que pudiera realizar a la infraestructura de ataque. Durante el período de análisis, el atacante movió su operación de escaneo SSH de 103.41.124.0/23 a 43.255.190.0/23, junto con un cambio en varias direcciones IP y C2.

Medidas frente al malware

Los usuarios de Linux que ejecutan SSHD en el Internet abierto, deben asegurarse de seguir las mejores prácticas para desactivar de la conexión como root en el archivo de configuración SSHD. Con solo este paso, se detendría al atacante, sin que pueda acceder al entorno.

Además, se debe considerar ejecutar el daemon SSH de una manera que evite este tipo de ataques y activar un firewall de manera local en la máquina Linux para proteger contra intentos de acceso por parte de desconocidos, cuando esto sea posible. Sin embargo, cuando se producen exploraciones poco sofisticadas, incluso el simple paso de ejecutar SSH en un puerto no estándar se puede utilizar como método de prevención. La mayoría de los escáneres básicos y clientes de malware no buscan servicios en puertos no estándar.

También es importante asegurar que las contraseñas sean complejas, para que los ataques comunes de diccionario no sean eficaces en contra de ningún password del usuario. Para proteger contra este problema, existe una lista de contraseñas que el atacante ha utilizado, detectadas por los expertos de Cisco, que se puede cifrar y comparar con las contraseñas del usuario para validar que no puedan ser atacados fácilmente.

También se recomienda que todos monitoreen el tráfico DNS que viaja por sus redes para detectar anomalías. Este malware trata de abrir ciertas IP, lo cual pudo haber sido un indicador para que las víctimas infectadas se dieran cuenta de que sucedía algo anormal en su entorno. Además, hay que observar el tráfico hacia cualquiera de las direcciones IP o nombres de hosts aquí mencionados, para asegurar que no hay ningún dispositivo comunicándose con el atacante o que participa en este botnet.

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close