มีการกล่าวเสมอว่า ลินุกซ์ เป็นระบบคงกระพันว่าไม่มีไวรัสและปลอดภัยกว่าทางเลือกอื่นมาก เช่น Windows หรือ macOS อย่างไรก็ตาม แม้ว่ามันจะเป็นความจริงที่ระบบนี้ให้การรักษาความปลอดภัยที่ดีเมื่อเทียบกับคู่แข่ง แต่ก็ยังห่างไกลจากการเป็นฐานที่มั่นที่หลายคนโอ้อวด และไม่เพียงเพราะไวรัสที่ส่งผลกระทบโดยตรง แต่ยังเป็นเพราะมัลแวร์จากระยะไกลซึ่งโจมตีโปรแกรมหรือโปรโตคอลโดยตรง ซึ่งเราไม่สามารถทำอะไรได้เลย และนี่คือสิ่งที่ใหม่ RapperBot ทำ
RapperBot เป็นบ็อตเน็ตตัวใหม่ที่เปิดใช้งานตั้งแต่กลางเดือนมิถุนายนปีนี้ มัลแวร์นี้เชี่ยวชาญในการโจมตีด้วยกำลังเดรัจฉานบนโปรโตคอล SSH ของเซิร์ฟเวอร์ Linux ทุกประเภท ด้วยเหตุนี้ จึงมีจุดมุ่งหมายเพื่อสร้างการเชื่อมต่อกับคอมพิวเตอร์ เข้าถึงคอมพิวเตอร์ และสามารถเข้าถึงทั้งข้อมูลที่เก็บไว้บนเซิร์ฟเวอร์และย้ายไปรอบ ๆ เครือข่ายเพื่อค้นหาคอมพิวเตอร์เครื่องอื่น
มัลแวร์ตัวใหม่นี้มีพื้นฐานมาจาก Mirai ซึ่งเป็นโทรจันที่แพร่ระบาดในอุปกรณ์ Linux หลายหมื่นเครื่องในช่วงสองสามปี เพื่อสร้างเครือข่ายคอมพิวเตอร์ที่ใหญ่ที่สุดเครือข่ายหนึ่งเพื่อเช่าให้กับผู้เสนอราคาสูงสุดสำหรับการโจมตีคอมพิวเตอร์ทุกประเภท อย่างไรก็ตาม แม้ว่า RapperBot จะค่อนข้างแตกต่างตรงที่แฮ็กเกอร์จะควบคุมการขยายตัวได้มากกว่า และไม่ได้มุ่งเป้าไปที่การโจมตี DDoS แต่มุ่งไปที่การเชื่อมต่อระยะไกลกับคอมพิวเตอร์และการเคลื่อนไหวด้านข้างภายในเครือข่าย สุทธิ.
แฮกเกอร์ควบคุมบ็อตเน็ตนี้ผ่านแผง C2 ด้วยวิธีนี้ พวกเขาสามารถระบุเป้าหมาย และส่งรายชื่อผู้ใช้ SSH เพื่อทดสอบด้วยกำลังดุร้าย ซึ่งช่วยให้สามารถเชื่อมต่อได้ สามารถเชื่อมต่อกับเซิร์ฟเวอร์ SSH ใดก็ได้ด้วย การแลกเปลี่ยนกุญแจ Diffie-Hellmann ด้วยคีย์ 768 บิตหรือ 2048 บิตและการเข้ารหัส AES128-CTR
ในเวลาเพียงเดือนครึ่ง มัลแวร์นี้ได้สแกนและโจมตีที่อยู่ IP มากกว่า 3,500 รายการ และดูเหมือนว่ามันมีชีวิตมากขึ้นกว่าเดิม
วิธีบรรเทาการโจมตีเหล่านี้
การโจมตีด้วยกำลังดุร้ายไม่ได้อาศัยข้อบกพร่องด้านความปลอดภัยในโปรแกรมหรือโปรโตคอล ดังนั้นเราจึงคาดไม่ถึงว่าแพตช์วิเศษจะปกป้องเราในทันที ดังนั้นจึงไม่มีทางป้องกันตนเองจากภัยคุกคามนี้ได้อย่างสมบูรณ์ แต่สิ่งที่เราต้องทำคือลดผลกระทบและป้องกันไม่ให้เราตกเป็นเหยื่อรายต่อไป
การทำเช่นนี้ สิ่งแรกและชัดเจนที่สุดคือ ถ้าเราไม่ได้ใช้ SSH เราต้องปิดการใช้งานบริการ บนลินุกซ์ของเรา สิ่งนี้จะป้องกันไม่ให้เราเชื่อมต่อกับระบบจากระยะไกล แต่ในขณะเดียวกันก็รับประกันได้ว่าเราจะไม่ตกไปอยู่ในเงื้อมมือของแฮกเกอร์เหล่านี้ อีกวิธีหนึ่งในการป้องกันตัวเองคือการกำหนดค่าความปลอดภัยให้ บล็อกการเชื่อมต่อหลังจากพยายามจำกัดจำนวนครั้ง . ตัวอย่างเช่น หากการเชื่อมต่อถูกบล็อกหลังจากพยายามล้มเหลว 10 ครั้งเป็นเวลา 10 นาที การโจมตีด้วยกำลังเดรัจฉานจะไม่ได้ผล
เคล็ดลับอื่นๆ ในการลดผลกระทบของมัลแวร์นั้นเป็นคำแนะนำทั่วไป เช่น การไม่ใช้ผู้ใช้ที่เป็นค่าเริ่มต้น การใช้รหัสผ่านที่ยาว สุ่มและคาดเดาได้ยาก และการเปลี่ยนพอร์ตเริ่มต้น
