Masowe próby logowania SSH typu slow i fast brute-force oraz skanowanie serwera
W ostatnim czasie nasze systemy Security Operations Center (SOC) wykryły wzmożoną aktywność związana z masowymi próbami logowania do usług SSH na serwerach iTELade. Ataki przyjmowały formę zarówno slow brute-force, jak i fast brute-force, a także intensywnego skanowania portów i usług.
Opis incydentu
Atak slow brute-force polega na powolnym, rozłożonym w czasie wysyłaniu prób logowania na różne konta użytkowników, aby uniknąć wykrycia przez mechanizmy automatycznej blokady. W tym samym czasie obserwowaliśmy także szybkie, agresywne próby logowania (fast brute-force), które mają na celu szybkie złamanie prostych haseł.
Równocześnie odnotowaliśmy intensywne skanowanie serwera pod kątem otwartych portów i potencjalnych podatności, co może wskazywać na przygotowania do kolejnych, bardziej zaawansowanych ataków.
Wykryte techniki ataku
- Slow brute-force: bardzo rozłożone w czasie próby logowania na wiele kont, z niską częstotliwością, by ominąć systemy IDS/IPS,
- Fast brute-force: szybkie próby logowania do niewielkiej liczby kont, wysoką intensywnością,
- Skany portów: systematyczne przeskanowanie typowych portów usług (SSH, HTTP, FTP, itp.),
- Użycie wielu źródłowych IP: ataki były realizowane z wielu różnych adresów IP, co wskazuje na zastosowanie botnetów lub rozproszonych narzędzi automatyzujących,
- Maskowanie i rotacja IP: napastnicy często zmieniali IP, aby uniknąć blokad.
Działania zespołu SOC
- Monitoring i analiza wzorców ruchu sieciowego i logów systemowych,
- Automatyczne blokowanie podejrzanych adresów IP na firewallu,
- Wdrożenie limitów prób logowania oraz systemów CAPTCHA tam, gdzie to możliwe,
- Analiza i aktualizacja reguł IDS/IPS, aby lepiej wykrywać slow brute-force,
- Współpraca z zespołami administratorów w celu zabezpieczenia serwerów,
- Informowanie użytkowników o konieczności stosowania silnych haseł i dwuskładnikowego uwierzytelniania (2FA),
- Rekomendacja wdrożenia ograniczeń dostępu po IP (whitelisty) i stosowania kluczy SSH zamiast haseł.
Podsumowanie
Ataki typu brute-force oraz skanowania serwera są jednymi z najczęstszych metod stosowanych przez napastników. Pomimo zastosowania wielu warstw zabezpieczeń, konieczne jest ciągłe monitorowanie i dostosowywanie środków ochronnych.
Jako zespół iTELade SOC pozostajemy czujni i gotowi do szybkiego reagowania na wszelkie próby naruszenia bezpieczeństwa. Zachęcamy do korzystania z naszych usług monitoringu oraz do zgłaszania wszelkich niepokojących zdarzeń.
Więcej informacji i procedury zgłaszania incydentów znajdziesz w naszej polityce zgłaszania incydentów.