2024/01/11 18:53:52

SSH

SSH (Secure Shell — безопасная оболочка) — сетевой протокол прикладного уровня, с помощью которого можно осуществлять удалённое управление операционной системой и туннелирование TCP-соединений, таких как передача файлов. Протокол SSH по своей функциональности схож с протоколами Telnet и rlogin. Однако отличительной его чертой является шифровка всего трафика, включая и передаваемые пароли. Алгоритмы шифрования в SSH могут быть различными, поскольку данный протокол предусматривает выбор различных алгоритмов шифрования. Для большей части сетевых операционных систем существуют SSH-клиенты и SSH-серверы.

Содержание

SSH служит залогом безопасной передачи в незащищенной среде любого другого сетевого протокола, благодаря чему есть возможность удаленно работать на компьютере через командную оболочку, а также передавать по шифрованному каналу видео или звуковой поток.

В настоящее время существует несколько версий протокола SSH, которые отличаются друг от друга общими схемами работы и алгоритмами шифрования. Наиболее популярным сейчас является SSH версии два. Меньшие версии протокола по современным меркам являются небезопасным, поскольку в них есть несколько очень опасных пробелов.

2024: Обнаружена новая зомби-сеть. Под угрозой заражения 700 тыс. IoT-устройств и Linux-серверов в России

Исследователь компании Akamai Стив Купчик опубликовал отчёт[1] об обнаруженном им варианте зомби-сети Mirai, который он назвал NoaBot. От первоначального вредоноса, исходные коды которого были опубликованы в 2016 году, новый вариант отличает распространение с помощью протокола защищённого удаленного управления SSH и встроенный криптомайнер XMRig, который, возможно, использует собственный майнинговый пул. Обнаруженные исследователем в коде червя метки времени датируют его разработку январем 2023 года.

Активность NeoBot в течении прошедшего года (данные Akamai)

NoaBot, как и Mirai – это зомби-червь, который нацелен на заражение IoT-устройств на основе Linux, таких как домашние маршрутизаторы, видеокамеры и серверы на основе Linux со включенным удаленным подключением по протоколу SSH и слабым паролем для него. Он использует для распространения атаку на подбор пароля по словарю. Однако исходные коды Mirai были собраны другим компилятором, отличным от GCC, поэтому антивирусные средства не определяют его как Mirai. Причем сейчас в реализации SSH обнаружена уязвимость, которая даже получила собственное наименование – Terrapin[2]. Она позволяет с помощью манипулирования последовательностью пакетов заставить сервер или клиент SSH понизить уровень шифрования и даже отключить у него защиту от атак. Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг

Причем, по статистике Shadowserver[3], на территории России обнаруживается до 700 тыс. устройств, которые могут быть подвержены данной атаке. Это четвертое место в мире по распространению данного приложения – впереди по количеству установок только США (3,3 млн), Китай (1,3 млн) и Германия (1 млн). К счастью, пока поддержка Terrapin не реализована в NoaBot, однако если это произойдет, то количество заражений этого вредоноса сильно увеличится. Пока же его распространение составляет всего 800 обнаруженных Akamai случаев.

Статистика уязвимых SSH-серверов в России (данные Shadowserver)

Ещё одной особенностью NoaBot является то, что он очень хорошо скрывается. В частности, даже в составе встроенного майнера XMRig не указаны ни адрес получателя криптовалюты, ни майнинговый пул. Стив Купчик считает, что разработчиком вредоноса был реализован собственный пул, что сильно затрудняет расследование инцидента. Поскольку сейчас, по всем признакам, криптозима закончилась, то велика вероятность активизации разработчиков подобных криптомайнеров.

Для защиты от подобных зомби-червей рекомендуется не оставлять на устройствах под управлением Linux паролей по умолчанию и делать их достаточно сложными. Кроме того, необходимо устанавливать обновления для устройств и по возможности следить за их поведением с помощью межсетевых экранов.

2017: Преступники массово сканируют сайты в поисках закрытых SSH-ключей

Киберпреступники массово сканируют web-сайты под управлением WordPress в поисках директорий, содержащих закрытые SSH-ключи, с целью взломать их с помощью случайно скомпрометированных учетных данных[4].

Аутентификация по SSH может осуществляться как по классической модели (с использованием логина и пароля), так и с помощью ключей. Во втором случае администратор генерирует пару ключей (закрытый и открытый ключи). Закрытый ключ помещается на сервер, который нужно аутентифицировать. В свою очередь пользователь сохраняет его в локальном конфигурационном файле SSH.

17-18 октября эксперты американской ИБ-компании Wordfence зафиксировали[5] неожиданный всплеск сканирований сайтов на предмет наличия папок с определенными названиями. Судя по названиям папок, тех, кто проводил сканирование, интересовали закрытые SSH-ключи. В частности, они искали директории с упоминанием "root," "ssh" или "id_rsa".

По словам основателя Wordfence Марка Мондера (Mark Maunder), это может свидетельствовать о том, что киберпреступники добились успехов в поисках закрытых ключей и усилили активность. Вероятно, существует уязвимость, или владельцы сайтов под управлением WordPress допускают операционную ошибку, из-за которой закрытые SSH-ключи становятся доступными третьим лицам.

Ссылки

Описание протокола SSH

Примечания