Level 3 y Cisco trabajan en conjunto para detener al malware denominado SSHPsychos

Es necesaria una gran coordinación y trabajo en conjunto para eliminar este Botnet Level 3 Threat Research Labs. La capacidad de la comunidad dedicada a la seguridad de la información para responder ante amenazas y el descubrimiento

Es necesaria una gran coordinación y trabajo en conjunto para eliminar este Botnet

Level 3 Threat Research Labs. La capacidad de la comunidad dedicada a la seguridad de la información para responder ante amenazas y el descubrimiento de vulnerabilidades mejora con el paso de los meses. La reacción colectiva ante una nueva amenaza, técnica o método de comunicación nunca había sido tan fuerte. Sin embargo, los cibercriminales también se mantienen actualizados, e incluso pueden llegar a superar las defensas del mundo de la seguridad.

Una manera de equilibrar este problema es no centrarse solo en identificar la amenaza, sino también en encontrar un método eficaz para eliminarla de Internet. Por lo general, la identificación del problema se confunde con su eliminación, y aunque los agresores son observados, pueden continuar persiguiendo sus metas.

Esta es la razón por la cual Level 3 y Talos Group de Cisco han trabajado en conjunto para investigar y mitigar el riesgo provocado por un agresor mediante un amplio escaneo de internet y el botnet DDoS: SSHPsychos.

La investigación de agentes maliciosos
A finales de septiembre de 2014, el blog Malware Must Die! detalló un nuevo malware en Linux y rootkit utilizado para ataques DDoS. A pesar de su clara descripción, la amenaza persistió. Más de cuatro meses después, FireEye identificó una inusual ataque de fuerza bruta SSH intentando cargar el mismo malware, que en ese entonces todavía era una herramienta rootkit y DDoS muy eficaz al combinarse con una fuente SSH durante los intentos de conexión. Afortunadamente para la comunidad de Internet, el Grupo Talos de Cisco no interrumpió su seguimiento a esta campaña. En el primer trimestre de 2015, los investigadores descubrieron más intentos de autenticación de este agresor (103.41.125.0/23 y 43.255.190.0/23), que el resto de los hosts combinados.

Posteriormente, a finales de marzo de 2015, Level 3 inició conversaciones con Talos Group de Cisco para trabajar juntos en la mitigación de esta amenaza en Internet. Datos de la red de Level 3 confirmaron la escala masiva que éste atacante logra cuando se compara con el tráfico global para SSH. Este único atacante representó más del 35% del total del tráfico SSH de Internet.

Es evidente que el conocimiento de la comunidad de la seguridad acerca de este evento no fue suficiente para disuadir al agresor, y era necesario hacer algo más importante para que se lograra una mejoría.

Al confirmar un riesgo en Internet, el objetivo es eliminarlo lo más ampliamente posible; sin embargo, antes de retirar cualquier cosa de la red, es importante comprender plenamente el impacto que puede tener para proveedores del servicio. Para ello, es sustancial entender más detalles sobre las herramientas y la infraestructura que utiliza el agresor.

Datos de los investigadores de Talos Group, permitieron identificar las acciones a realizar después de que ocurrió una autenticación exitosa SSH mediante fuerza bruta.

Posteriormente, después de descargar los archivos, el equipo de Level 3 confirmó la información proporcionada en septiembre por el blog Malware Must Die!, por lo que nada estructural había cambiado en el malware. El equipo de Level 3 lo cargó como raíz dentro de un CentOS 7 VM y observó su funcionamiento.

Impacto para la Víctima
Durante un período de dos semanas a finales de marzo y principios de abril, se supervisó un gran número de IPs escaneados por los atacantes. También se identificó cuáles proveedores de Internet eran participantes activos en  del botnet. Al observar a los hosts del  botnet se pudo identificar que la comunicación C2 ocurría a través de los puertos TCP 8000 a 8008 y 3306, como se observa en la versión actual del malware. Sin embargo, varios de los hosts seguían comunicándose a través de los puertos TCP 3502-3508 como en las versiones anteriores.

Después de evaluar la enorme escala, impacto y duración, se trabajó para dejar fuera del Internet a esté código malicioso.

Proceso de eliminación
El martes, 7 de abril, 2015, Level 3 tomó las medidas necesarias para bloquear  todo el tráfico del agresor dentro de sus redes globales. Esto aseguró que ningún tráfico hacia el atacante fuera enviado a través del Level 3. Se comenzó a tocar base con otros operadores para informarles sobre esta amenaza y las medidas que se habían llevado a cabo para que también ayudaran a removerlo permanentemente de Internet.

También se monitorearon las acciones del atacante para estar alertas ante cualquier cambio que pudiera realizar a la infraestructura de ataque. Durante del período de análisis el atacante movió su operación de escaneo SSH de 103.41.124.0/23 a 43.255.190.0/23, junto con un cambio en varias direcciones IP y C2.

Lo que se debe hacer
Los usuarios de Linux que ejecutan SSHD en el Internet abierto, deben asegurarse de seguir las mejores prácticas para desactivar de la conexión como root en el archivo de configuración SSHD. Con solo este paso, se detendría al atacante, sin que pueda acceder al entorno.

Además, se debe considerar ejecutar el daemon SSH de una manera que evite este tipo de ataques. Activar un firewall de manera local en la máquina Linux para proteger contra intentos de acceso por parte de desconocidos, sería un gran paso, cuando esto sea posible. Sin embargo, cuando se producen exploraciones poco sofisticadas, incluso el simple paso de ejecutar SSH en un puerto no estándar se puede utilizar como método de prevención. La mayoría de los escáneres básicos y clientes de malware no buscan servicios en puertos no estándar.

También es importante asegurar que las contraseñas sean complejas, para que los ataques comunes de diccionario no sean eficaces en contra de ningún password del usuario. Para proteger contra este problema hemos adjuntado las contraseñas que el atacante ha utilizado, detectadas por los expertos de Cisco. Esta lista, disponible aquí, se puede cifrar y comparar con las contraseñas del usuario para validar que no puedan ser atacados fácilmente.

También se recomienda que todos monitoreen el tráfico DNS que viaja por sus redes para detectar anomalías. Este malware trata de abrir ciertas IPs, lo cual pudo haber sido un indicador para que las víctimas infectadas se dieran cuenta de que sucedía algo anormal en su entorno.

Además, hay que observar el tráfico hacia cualquiera de las direcciones IP o nombres de hosts aquí mencionados, para asegurar que no hay  ningún dispositivo comunicándose con el atacante o que participa en este botnet.

Defendiendo el Internet
Después de encontrar un atacante, en vez de solo de observar el problema, es fundamental que la comunidad de seguridad limpie la infraestructura del atacante y e inmovilice su capacidad de ejecución. Esta colaboración lleva a una mejora general en la seguridad del Internet. En el caso de SSHPsychos, el trabajo realizado en conjunto por los equipos de Level 3 y Cisco ha dado como resultado un gran avance en cuanto a la seguridad del Internet para todo el mundo. Level 3 y Cisco continuarán juntos esta tendencia, esperando que otros se sumen a este esfuerzo.

Level 3 Threat Research Labs

Level 3 Threat Research Labs analiza proactivamente el panorama de amenazas globales y correlaciona la información a través de fuentes internas y externas para ayudar a proteger a sus clientes y a la Internet pública.

Review overview
NO COMMENTS

Sorry, the comment form is closed at this time.