Die Threat Research Labs von Level 3 und Ciscos Talos Group kündigten Anfang April ihre Kooperation zur Bekämpfung der SSHPsychos Gruppe an, die seit Mitte 2014 für groß angelegte Bruteforce Attacken auf beliebige SSH Services weltweit verantwortlich zeichnet. Die auch unter dem Namen Group 93 bekannten Angreifer verursachten mit ihren Passwort Attacken zeitweise über 35 Prozent des weltweiten SSH Traffics.
[img=right]https://www.picflash.org/img/2015/04/11/sshpsychoscisco1-1024x5587EOVLO.jpg[/img]Der Traffic der Angreifer stammt von den zwei Adressblöcken 103.41.125.0/23 (rot) und 43.255.190.0/23 (orange), die laut einer Untersuchung von Level 3 und Cisco ausschließlich für Angriffe genutzt werden. Eine Statistik der Cisco Talos Group zeigt, wie unverhältnismäßig hoch die Zahl der Angriffe aus diesem Netzwerk ist. Rote, pinke und orange Balken zeigen SSH Attacken der SSHPsychos, grüne Balken zeigen Angriffe aus dem restlichen Internet.
Um die Gruppe auszubremsen, wurden die betroffenen Adressblöcke innerhalb der Netze von Level 3 blockiert (Nordamerika, Lateinamerika, Europa, Asien). Eine dauerhafte Lösung des Problems darf dadurch nicht erwartet werden. Bereits kurz nachdem der erste Adressblock (rot) gesperrt wurde, verzeichneten Honeypots der Talos Group neue Angriffe aus dem zweiten Adressblock (orange).
Bei den Angriffen der SSHPsychos kommt eine Passwortliste mit etwa 300.000 Wörtern zum Einsatz. Nachdem ein gültiges Passwort erraten wird, loggt sich ein Bot auf dem betroffenen System ein und lädt mit wget ein DDos rootkit auf den kompromittierten Server. Dieses erhält danach weitere Anweisungen über einen Command and Control Server außerhalb der USA.
Ausschließlich der root Benutzer und SSH Daemons auf Port 22 werden bei der Attacke geprüft. Hosts mit einem alternativen SSH Port und solche, auf denen der root User im SSH Daemon deaktiviert ist, sollen von den Angriffen nicht betroffen sein.
Eine besondere Herausforderung beim Blockieren des bösartigen Traffics auf Ebene der Backbones ist die Vermeidung von Kollateralschäden, könnten sich schließlich auch "gutartige" Hosts innerhalb der betroffenen Adressbereiche befinden. Viele Provider schrecken deshalb vor derartigen Sperren zurück, solange der Backbone selbst nicht von den Attacken betroffen ist.
Quellen:
Group Behind SSH Brute Force Attacks Slowed Down
Threat Spotlight: SSHPsychos
How Level 3 and Cisco Worked Together to Improve the Internet’s Security and Stop SSHPsychos
Bildquelle: Cisco
[img=right]https://www.picflash.org/img/2015/04/11/sshpsychoscisco1-1024x5587EOVLO.jpg[/img]Der Traffic der Angreifer stammt von den zwei Adressblöcken 103.41.125.0/23 (rot) und 43.255.190.0/23 (orange), die laut einer Untersuchung von Level 3 und Cisco ausschließlich für Angriffe genutzt werden. Eine Statistik der Cisco Talos Group zeigt, wie unverhältnismäßig hoch die Zahl der Angriffe aus diesem Netzwerk ist. Rote, pinke und orange Balken zeigen SSH Attacken der SSHPsychos, grüne Balken zeigen Angriffe aus dem restlichen Internet.
Um die Gruppe auszubremsen, wurden die betroffenen Adressblöcke innerhalb der Netze von Level 3 blockiert (Nordamerika, Lateinamerika, Europa, Asien). Eine dauerhafte Lösung des Problems darf dadurch nicht erwartet werden. Bereits kurz nachdem der erste Adressblock (rot) gesperrt wurde, verzeichneten Honeypots der Talos Group neue Angriffe aus dem zweiten Adressblock (orange).
Bei den Angriffen der SSHPsychos kommt eine Passwortliste mit etwa 300.000 Wörtern zum Einsatz. Nachdem ein gültiges Passwort erraten wird, loggt sich ein Bot auf dem betroffenen System ein und lädt mit wget ein DDos rootkit auf den kompromittierten Server. Dieses erhält danach weitere Anweisungen über einen Command and Control Server außerhalb der USA.
Ausschließlich der root Benutzer und SSH Daemons auf Port 22 werden bei der Attacke geprüft. Hosts mit einem alternativen SSH Port und solche, auf denen der root User im SSH Daemon deaktiviert ist, sollen von den Angriffen nicht betroffen sein.
Eine besondere Herausforderung beim Blockieren des bösartigen Traffics auf Ebene der Backbones ist die Vermeidung von Kollateralschäden, könnten sich schließlich auch "gutartige" Hosts innerhalb der betroffenen Adressbereiche befinden. Viele Provider schrecken deshalb vor derartigen Sperren zurück, solange der Backbone selbst nicht von den Attacken betroffen ist.
Quellen:
Group Behind SSH Brute Force Attacks Slowed Down
Threat Spotlight: SSHPsychos
How Level 3 and Cisco Worked Together to Improve the Internet’s Security and Stop SSHPsychos
Bildquelle: Cisco
Zuletzt bearbeitet: