Security Week 17: последствия атаки на Linux-серверы

На прошлой неделе было опубликовано интересное исследование об атаках на Unix-подобные системы. В нем описано создание ханипота из Docker-контейнера (новость, исходная статья Akamai). Docker было использовать не обязательно, ведь поведение «ботоводов» из отчета ничем не отличается от атаки на любую другую доступную из сети Linux-систему с дефолтным паролем. Но при работе с Docker растет вероятность ошибки оператора — когда случайно поднимается доступный из сети контейнер с настройками по умолчанию.

Соответственно, «взлом» в данном эксперименте очень простой: образ был поднят с легко угадываемым паролем для учетной записи root, а точнее, были исследованы несколько типичных пар логин-пароль вроде root:root или oracle:oracle. Интерес представляют дальнейшие действия атакующих. Для ряда успешных логинов сценарий был одинаковый: взломанная система использовалась как прокси-сервер, причем даже не для криминальных дел — был замечен трафик с сервисов Netflix, Twitch и подобных, очевидно, для обхода региональных ограничений. Но были и успешные попытки подключения системы к ботнету.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Разбор новой атаки кибершпионов Sticky Werewolf с использованием Rhadamanthys Stealer
• Идеальный кейс внедрения DevSecOps. Так бывает?
• Партнёрское продвижение: почему бизнесу нельзя игнорировать кросс-маркетинг
• Атака Kerberoasting без пароля пользователя — миф, или новая реальность?
• К 2027 году российский рынок LMS-систем вырастет более чем в полтора раза
• Гринч — похититель госэкзаменов
• Процессы ИТ и ИБ
• Проведение фишинг-учений с использованием вредоносных ссылок и HTML-приложений. Часть 1
• Profitbase: От выбора к продажам: как девелоперам внедрить выигрышные инструменты
• Подкаст Стартап-секреты: Стратегия продукта и аналитика: как создаются продукты, которые опираются на рынок и данные