En lugar de utilizar la misma máquina comprometida para intentar con múltiples combinaciones de contraseñas, el nuevo ataque se basa en la coordinación entre múltiples clientes de redes zombies (bot). También, en lugar de lanzar este recurso a servidores al azar de Secure Shell (SSH) remotos, el asalto es dirigido a servidores específicos.
Este enfoque, que es parecido a vencer defensas de seguridad básicas basadas en tasa de ataque, apareció primero después que los investigadores de seguridad se dieron cuenta de un pico en las fallas de ingreso por SSH allá por Octubre, y continua así. Las contra-medidas tales como el uso de listas negras de bloqueo de direcciones IP de equipos comprometidos fueron aplicadas para mitigar el ataque, pero son parcialmente exitosas, advirtió el viernes Arbor Networks.
Una comparación reciente entre la lista negra creada por el escaner de SSH de Arbor y otra lista negra, reveló un 12% de superposición, lo que sugiere que muchos equipos comprometidos permanecen sinser registrados.
Mucho acerca de este ataque sigue sin aclararse. Por ejemplo, las firmas de seguridad todavía deben aislar ejemplos del codigo de la red zombie detras de este ataque.Fuente: http://blog.segu-info.com.ar
No hay comentarios:
Publicar un comentario