Alerta de seguridad
Nivel de peligrosidad: Alto
Descripción
El malware ShellBot es un bot DDoS que utiliza el protocolo IRC para comunicaciones C2. Realiza ataques de fuerza bruta SSH en servidores que tienen el puerto 22 abierto.
Utiliza un diccionario que contiene una lista de credenciales SSH conocidas para apuntar a servidores Linux SSH mal administrados. Esto significa que las cepas de malware se pueden instalar después de que los actores de amenazas hayan utilizado las credenciales de la cuenta obtenidas mediante el uso de escáneres y el malware SSH BruteForce en los sistemas de destino.
Si se instala ShellBot, los servidores Linux se pueden usar como bots DDoS para ataques DDoS contra objetivos específicos después de recibir un comando del actor de amenazas. Además, el actor de amenazas podría usar varias otras funciones de puerta trasera para instalar malware adicional o lanzar diferentes tipos de ataques desde el servidor comprometido.
Recursos afectados
Todo servidor Linux SSH con contraseñas débiles son vulnerables al nuevo malware.
Indicadores de compromiso
MD5
- bef1a9a49e201095da0bb26642f65a78 : ak
- 3eef28005943fee77f48ac6ba633740d : mperl
- 55e5bfa75d72e9b579e59c00eaeb6922 : niko1
- 6d2c754760ccd6e078de931f472c0f72 : perl
- 7ca3f23f54e8c027a7e8b517995ae433 : bash
- 2cf90bf5b61d605c116ce4715551b7a3 : test.jpg
- 7bc4c22b0f34ef28b69d83a23a6c88c5 : dred
- 176ebfc431daa903ef83e69934759212 : ff
Descargar URL
- xxx[.]online/ak
- 193.233.202[.]219/mperl
- 193.233.202[.]219/niko1
- hxxp://34.225.57[.]146/futai/perl
- 80.94. 92[.]241/bash
- hxxp://185.161.208[.]234/test.jpg
- hxxp://39.165.53[.]17:8088/iposzz/dred
- hxxp://80.68.196[ .]6/ss.
URL de C&C
- 164.90.240[.]68:6667 : ak
- 206.189.139[.]152:6667 : mperl
- 176.123.2[.]3:6667 : niko1
- 164.132.224[.]207:80 : perl
- 51.195.42[.]59:8080 : bash
- gsm.ftp[.]sh:1080 : test.jpg
- 192.3.141[.]163:6667 : dred
- 49.212.234[.]206:3303 : ff
Recomendaciones
- De ser necesario publicar el servicio SSH por un puerto diferente al 22 y acceso por VPN.
- Usar autenticación por clave pública y privada en lugar de contraseña.
- Actualizar periódicamente el software secure shell del sistema.
Referencias
PerlBot: Malware que afecta a Servidores Linux SSH mal administrados