ShellBot DDoS Malware
Az AhnLab Security Emergency Reagency Center (ASEC) nemrégiben változást fedezett fel a rosszul menedzselt Linux SSH-kiszolgálókra telepített ShellBot kártevő terjesztési módszerében. A teljes folyamat változatlan marad, de a fenyegetés szereplője által a ShellBot telepítéséhez használt letöltési URL normál IP-címről hexadecimális értékre változott.
A ShellBot rosszindulatú programot rosszul menedzselt Linux SSH-szerverekre telepítik, és a közelmúltbeli esetek megerősítették, hogy hexadecimális IP-címeket használ a viselkedésalapú észlelés elkerülésére. Ha a ShellBot telepítve van, a Linux-kiszolgálók DDoS-botként használhatók meghatározott célpontok elleni DDoS-támadásokhoz, miután megkapták a parancsot a fenyegetettség szereplőjétől. Ezen túlmenően a fenyegetés szereplői számos más hátsó ajtó funkciót használhatnak további rosszindulatú programok telepítésére vagy különböző típusú támadások indítására a feltört szerverről.
Emiatt az adminisztrátoroknak nehezen kitalálható jelszavakat kell használniuk fiókjukhoz, és időnként módosítaniuk kell azokat, hogy megvédjék a Linux-kiszolgálót a brute force támadásoktól és a szótári támadásoktól, valamint frissíteniük kell a legújabb javításra a sebezhetőségi támadások megelőzése érdekében. Ezenkívül biztonsági programokat, például tűzfalakat kell használniuk a külső forrásokból elérhető kiszolgálókhoz, hogy korlátozzák a fenyegető szereplők hozzáférését. Végül óvatosan kell eljárni a V3 frissítésével a legújabb verzióra a rosszindulatú programok fertőzésének előzetes blokkolása érdekében.