Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

GoScanSSH: nuovo malware per Linux compromette i server SSH

GoScanSSH   mercoledì, 28 marzo 2018

I ricercatori di Cisco Talos hanno identificato una nuova famiglia di malware, battezzata GoScanSSH, utilizzata per compromettere server SSH esposti su Internet.

GoScanSSH colpisce sistemi basati su Linux ed è realizzato mediante il linguaggio di programmazione Go, raramente utilizzato per la creazione di codici malevoli. Gli autori di GoScanSSH hanno creato file binari unici per ogni host attaccato dal malware. Inoltre, l’infrastruttura di comando e controllo (C&C) di GoScanSSH è stata resa più difficile da tracciare e più resistente ai tentativi di smantellamento mediate l’uso del servizio di proxy Tor2Web.

Secondo gli esperti che hanno analizzato il malware, il vettore di infezione di GoScanSSH è con molta probabilità un attacco a forza bruta contro server SSH pubblicamente accessibili, configurati per consentire il metodo di autenticazione basato su password. Gli attaccanti hanno utilizzato una lista di credenziali contenente più di 7000 combinazioni username/password. Una volta individuata una coppia di credenziali che consente l’accesso al server attaccato, viene creata e caricata sulla macchina compromessa una copia del malware unica per quell’host. Il codice malevolo viene quindi eseguito, infettando il sistema.

Le combinazioni username/password utilizzate da GoScanSSH sono relative ad account con password deboli o predefinite potenzialmente presenti su una gamma di dispositivi equipaggiati con sistemi basati su Linux. Il malware utilizza i seguenti username per tentare di autenticarsi sui server SSH:

  • admin
  • guest
  • oracle
  • osmc
  • pi
  • root
  • test
  • ubnt
  • ubuntu
  • user

Le credenziali sfruttate mirano a compromettere, tra gli altri, i seguenti sistemi e dispositivi:

  • Open Embedded Linux Entertainment Center (OpenELE);
  • Raspberry Pi;
  • Open Source Media Center (OSMC);
  • credenziali di default di dispositivi Ubiquiti;
  • iPhones con jailbreak;
  • credenziali di default di telefoni SIP PolyCom;
  • credenziali di default di dispositivi Huawei;
  • credenziali di default di Asterisk;
  • vari modelli di tastiera;
  • password comunemente utilizzate.

Una volta eseguito sul dispositivo infetto, GoScanSSH tenta come prima cosa di determinare la potenza computazionale del sistema ospite, sulla base del numero di valori hash calcolati in un intervallo di tempo fisso. Il risultato di questo calcolo viene quindi trasmesso ai server C&C in forma cifrata, mediante il servizio di proxy Tor2Web, assieme ad un identificativo univoco della macchina infetta e ad altre informazioni di base sul sistema.

Sulla base dell’analisi dei dati relativi alle richieste di risoluzione DNS dei domini associati all’infrastruttura C&C di GoScanSSH, i ricercatori hanno stabilito che questa campagna di attacchi è in corso da almeno nove mesi.

Una delle funzioni principali di GoScanSSH consiste nella scansione ed identificazione di altri server SSH vulnerabili esposti su Internet che possono essere ulteriormente compromessi dagli attaccanti. Per poter fare ciò, il malware genera un indirizzo IP casuale, evitando indirizzi di uso speciale, e lo confronta con un elenco di blocchi di indirizzi e di domini Internet associati che non debbono essere scansionati. In particolare, gli indirizzi e i domini da evitare risultano assegnati a varie agenzie militari e governative, in particolare al Dipartimento della Difesa degli Stati Uniti. Tra le altre entità evitate dal malware figura anche una specifica organizzazione della Corea del Sud. Se l’indirizzo fa parte delle liste nere, il malware provvede a generarne uno nuovo.

Una volta individuato un indirizzo IP potenzialmente “attaccabile”, GoScanSSH stabilisce una connessione al server SSH corrispondente sulla porta TCP 22 e tenta di autenticarsi mediante la lista di credenziali descritta in precedenza. In caso di successo, il malware comunica le informazioni sull’attacco al server C&C. I ricercatori ritengono che a questo punto gli attaccanti preparino un nuovo esemplare di GoScanSSH specificamente mirato al sistema compromesso e infettino il nuovo host, replicando il meccanismo di diffusione descritto.

Nel corso dell’analisi, i ricercatori di Cisco Talos hanno individuato oltre 70 esemplari unici di malware associati alla famiglia GoScanSSH, compilati per supportare svariate architetture di sistema tra cui x86, x86_64, ARM e MIPS64. Diverse versioni del malware sono state rilevate attive in-the-wild, segno che questa minaccia continua a essere attivamente sviluppata e migliorata dai suoi autori.

Il post originale sul blog di Cisco Talos contiene un’analisi più dettagliata di GoScanSSH, inclusi svariati indicatori di compromissione (IoC).