Uit een aantal recente incidenten blijkt dat er een nieuwe manier is om "brute-force" SSH aanvallen uit te voeren. In plaats dat de hosts van het SSH botnet razendsnel tussen IP-adressen switchen en keer op keer een "login fail" veroorzaken, gaat het nu georganiseerder. Ze proberen slechts één of twee keer van hetzelfde IP in te loggen voordat ze verder gaan, waarna een ander IP van het botnet een nieuwe inlogpoging uitvoert. Het IP-adres komt wel meerdere keren voor, maar met lange tussenpauzen. Simpele, lokale IDS's (Intrusion Detection Systeem) geven zich dan al snel gewonnen. Een bijkomend feit is dat ze zich op hele specifieke SSH servers richten. Afhankelijk van de grootte van de aanval, kan een "distributed" SSH aanval voor duizenden inlogpogingen op een één account zorgen.

Detectie systeem
Onderzoeker Jamie Riden ontdekte de aanval toen hij in plaats van de gebruikelijke 20.000 dagelijkse alerts, nu ruim 200.000 meldingen in het Instrusion Detection System (Snort) zag, dat alarm slaat op basis van de "potential SSH scan" rule. Riden wist direct dat er iets niet in de haak was en dat er in het weekend enorm veel kwaadaardige activiteiten hadden plaatsgevonden. Een van de machines die meehielp met de aanval bevond zich in het netwerk van de beveiliger.

"De eigenaar was erg verrast toen hij hoorde wat er aan hand was. Ik haalde de machine direct uit het netwerk", gaat Riden verder. "Hierna heb ik de computer met een op Knoppix-gebaseerd besturingssysteem opgestart, zodat ik een kijkje kon nemen in het besturingssysteem. Als je denkt dat er kans is in de rechtszaal te belanden, raad ik aan voorzichtiger te zijn dan ik was, en Backtrack te gebruiken, dat speciaal voor dit soort incidenten ontworpen is", aldus de onderzoeker. Toen hij de /var/log/auth.log onderzocht, kwam naar voren dat de machine wachtwoorden probeerde te raden op de "openssh daemon" server. De computer van het slachtoffer scande ook op andere netwerken naar SSH servers. De conclusie was dan ook dat de computer zelf overgenomen was door middel van "password-guessing". In artikel zelf is te lezen hoe het ssh-entries-log eruit zag.

Blacklisting
Een mogelijk antwoord op de aanvallen lijkt een blacklist te zijn, die het aantal gefaalde inloginpogingen van één IP-adres telt en vervolgens adressen die de opgegeven interval overschrijden, op een blacklist of als rule in de firewall plaatst. Het systeem houdt vervolgens verdere inlogpogingen van desbetreffende IP-adres tegen. Een andere oplossing is een andere poort toekennen aan SSH. Deze manier is niet waterdicht, omdat aanvallers via een poortscan alsnog de SSH poort kunnen achterhalen. Verder kunnen gebruikers als alternatief cryptografische sleutels gebruiken. Uit deze cijfers blijkt dat brute-forcers "root" als gebruikersaccount en "123456" en "password" het vaakst als wachtwoord proberen.