As infraestruturas cloud são dominadas principalmente por máquinas baseadas em Linux, devido a vantagens como custos mais baixos, confiabilidade e flexibilidade. Sendo de código aberto, os sistemas Linux são amplamente considerados os mais seguros. No entanto, eles não são imunes a ataques de hackers. Um dos métodos mais comuns de ataque a máquinas Linux é por meio de canais SSH.
Como AWS usa SSH
Secure Shell (SSH) é um protocolo de rede baseado em criptografia que opera na porta número 22 por padrão. Este protocolo estabelece conexão de acesso remoto entre duas máquinas após a autenticação com uma senha ou um par de chaves pública-privada e envia dados criptografados pelo canal para garantir a segurança.
O modelo de segurança compartilhada proposto pela Amazon Web Services (AWS) permite proteger o acesso remoto às instâncias Linux hospedadas por meio de SSH. Quando uma instância do EC2 for iniciada, você terá a opção de atribuir um par de chaves. A AWS usa o nome de usuário junto com um arquivo PEM associado ao par de chaves para autenticar com o servidor e abre uma sessão SSH.
Atacando SSH de máquinas AWS Linux
Deixar os serviços SSH expostos é um erro de configuração comum que aumenta a vulnerabilidade dos sistemas Linux. Canais SSH de força bruta são uma forma popular de obter acesso à nuvem. Os invasores implantam bots conhecidos como bruteforcers para realizar esses ataques. Um experimento revelou que uma instância AWS EC2 com serviços SSH expostos provavelmente será atacada pelo primeiro bot bruteforcer em menos de 10 horas após a implantação.
Além da força bruta, os invasores podem coletar chaves SSH e credenciais de controle de origem, repositórios públicos ou baldes abertos. Eles também podem roubá-los de máquinas comprometidas em campanhas paralelas ou não relacionadas, ou mesmo comprá-los em mercados de acesso remoto onde são vendidos como um serviço.
O serviço foi comprometido. E agora?
Depois de comprometer o serviço SSH, os invasores têm possibilidades infinitas. Eles podem infectar hosts Linux com criptomineradores, substituir executáveis legítimos por maliciosos, executar violações de dados e muito mais.
Para encobrir seus rastros, eles podem desabilitar as funções de auditoria do sistema operacional. Eles também podem estabelecer persistência criando backdoors. Uma maneira é inserir uma chave pública SSH de propriedade do invasor no arquivo de chaves autorizadas no servidor para garantir a conexão remota com o servidor sem ser notado. Os invasores também podem iniciar movimentos laterais com botnets semelhantes a worms para manobrar pela nuvem e até mesmo, eventualmente, mover-se para ambientes de TI locais.
Como identificar e parar esses ataques
A coleta de logs de seu ambiente da AWS é um bom ponto de partida. Em ataques de força bruta, o bruteforcer tenta várias senhas por tentativa e erro na tentativa de fazer login em sua máquina. Como resultado, a máquina registra vários eventos de logon com falha.
Se alguma de suas instâncias do Linux EC2 estiver registrando vários logons com falha em um período incomumente curto, é um sinal claro de um ataque de força bruta. Depois que um ataque de força bruta é identificado, você pode anotar o endereço IP do invasor e bloqueá-lo.
Os logs ajudam a rastrear e analisar minuciosamente os incidentes na rede. O monitoramento em tempo real de logs combinado com análise de comportamento pode ajudá-lo a detectar invasores de rede que usam credenciais roubadas.
Em resumo
Para reduzir o risco de ataques SSH, certifique-se de que nenhum de seus serviços SSH em seus hosts Linux seja exposto. Adicionar uma camada extra de segurança, como autenticação de dois fatores, também torna seus hosts Linux menos suscetíveis a ataques de força bruta.
A implantação de uma solução de gerenciamento de eventos e informações de segurança (SIEM) que oferece suporte à análise de eventos que ocorrem em plataformas de nuvem pode ajudá-lo a detectar e mitigar ataques SSH no Linux AWS. As soluções SIEM coletam logs, analisam-nos, identificam eventos suspeitos em sua rede e alertam sobre eles em tempo real. Você também pode configurar fluxos de trabalho de incidentes automatizados que reduzem bastante o tempo de resposta a incidentes.
O ManageEngine Log360 é uma solução de SIEM e mitigação de ameaças abrangente e fácil de usar que oferece suporte a plataformas locais e em nuvem, como Amazon Web Services, Google Cloud Platform, Salesforce e Microsoft Azure, além de monitoramento de segurança local. A solução pode identificar ameaças e comportamento anômalo do usuário, detectar ataques internos, identificar conexões de tráfego maliciosas e muito mais com seu mecanismo de correlação em tempo real e complemento de análise comportamental baseado em machine learning. Saiba mais sobre o Log360 clicando aqui.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Madhuvantii M.