通過 SSH 蠻力攻擊方式的 Linux 發行版 DDoS 惡意軟件
FireEye 的研究人員偵測到一次攻擊活動中,惡意攻擊者使用了 Secure Shell (SSH) 暴力破解攻擊方式來在Linux和其他類型的系統上安裝了一份 DDoS 攻擊惡意軟件。
這個叫做 XOR.DDoS 的惡意軟件, 早在9月就被惡意軟件必死研究組(Malware Must Die)發現, 他們將其鏈接到了一個中國演員的網頁。XOR.DDoS 不同于其他的 DDoS 攻擊機器人,因為它使用 C/C++ 編寫的,且為了攻擊的持久性,它還運用了一個rootkit組件。
FireEye 于十一月中旬開始分析 XOR DDoS,當時發現有SSH暴力破解攻擊其全球威脅研究網絡,來自屬于Hee Thai有限公司的IP地址, 這明顯是一家總部設在香港的機構. 安全機構發現首個24小時時段內每臺服務器有超過20000次的SSH嘗試登陸.
該攻擊活動的第二個階段發生在十一月19到30日. 到了11月底,FireEye已經觀察到大約15萬次嘗試登陸,幾乎全部都來自于Hee Thai有限公司的IP地址. 第三階段,據研究人員聲稱比前兩個階段更加的“混亂”,開始于12月7日,且今天仍在繼續. 1月底已經發現每臺服務器有將近100萬次的嘗試登陸發生.
在一個SSH密碼被暴力破解成功的情況下,攻擊者會登錄到目標服務器,并執行SSH的shell命令. 他們會從目標設備處提取到內核的頭文件和版本字符串,利用這些來在其復雜的構建系統上創建按需求編譯的惡意軟件.
一旦安裝在系統之上,XOR.DDoS 惡意軟件就會連接到它的命令和控制(C&C)服務器 , 從那里他就能獲得一個目標的清單. 除了 DDoS 攻擊, 機器人還能夠下載和執行二進制文件,并且他還能夠利用一個自我進化的特性來用新的變種替換其自身.
攻擊的受害者所要面臨的問題是,攻擊者所使用的SSH命令并不會顯示在日志中,FireEye 如是說.
“運行標準OpenSSH服務器的 Linux 服務器只會在日志中看到一次成功的登陸,馬上跟著一次退出,此外沒有其它任何動作,” FireEye 的研究者們在一片 博文 中描述道. “這是 OpenSSH 的一個常用特性, 有趣的是,它避開了Linux的日志設施. 即使對日志功能做最詳細的設置,OpenSSH 服務器也不會記錄遠程命令的操作日志.”
安全公司說,rootkit組件,它的主要目標是隱藏指示器在內核級的破解,讓其作為一個可加載的內核模塊加載(LKM)。
研究人員已經發現了兩個在外部的XOR.DDoS變體。這兩個變體可以被x86,ARM和其他平臺很好地編譯。
兩個惡意軟件必須被消滅,俄羅斯的安全公司Dr.Web已經監控到被中國稱為“ChinaZ”的惡意軟件的活動。一月中旬,惡意軟件必須被消滅(MalwareMustDie)就已被報告,這種威脅作用在ShellShock漏洞上,并發送給DDoS惡意軟件。