| 注册
请输入搜索内容

热门搜索

Java Linux MySQL PHP JavaScript Hibernate jQuery Nginx
jopen
9年前发布

通过 SSH 蛮力攻击方式的 Linux 发行版 DDoS 恶意软件

FireEye 的研究人员侦测到一次攻击活动中,恶意攻击者使用了 Secure Shell (SSH) 暴力破解攻击方式来在Linux和其他类型的系统上安装了一份 DDoS 攻击恶意软件

这个叫做 XOR.DDoS 的恶意软件, 早在9月就被恶意软件必死研究组(Malware Must Die)发现, 他们将其链接到了一个中国演员的网页。XOR.DDoS 不同于其他的 DDoS 攻击机器人,因为它使用 C/C++ 编写的,且为了攻击的持久性,它还运用了一个rootkit组件。

FireEye 于十一月中旬开始分析 XOR DDoS,当时发现有SSH暴力破解攻击其全球威胁研究网络,来自属于Hee Thai有限公司的IP地址, 这明显是一家总部设在香港的机构. 安全机构发现首个24小时时段内每台服务器有超过20000次的SSH尝试登陆.

该攻击活动的第二个阶段发生在十一月19到30日. 到了11月底,FireEye已经观察到大约15万次尝试登陆,几乎全部都来自于Hee Thai有限公司的IP地址. 第三阶段,据研究人员声称比前两个阶段更加的“混乱”,开始于12月7日,且今天仍在继续. 1月底已经发现每台服务器有将近100万次的尝试登陆发生.

在一个SSH密码被暴力破解成功的情况下,攻击者会登录到目标服务器,并执行SSH的shell命令. 他们会从目标设备处提取到内核的头文件和版本字符串,利用这些来在其复杂的构建系统上创建按需求编译的恶意软件.

一旦安装在系统之上,XOR.DDoS 恶意软件就会连接到它的命令和控制(C&C)服务器 , 从那里他就能获得一个目标的清单. 除了 DDoS 攻击, 机器人还能够下载和执行二进制文件,并且他还能够利用一个自我进化的特性来用新的变种替换其自身.

攻击的受害者所要面临的问题是,攻击者所使用的SSH命令并不会显示在日志中,FireEye 如是说.

“运行标准OpenSSH服务器的 Linux 服务器只会在日志中看到一次成功的登陆,马上跟着一次退出,此外没有其它任何动作,” FireEye 的研究者们在一片 博文 中描述道. “这是 OpenSSH 的一个常用特性, 有趣的是,它避开了Linux的日志设施. 即使对日志功能做最详细的设置,OpenSSH 服务器也不会记录远程命令的操作日志.”

安全公司说,rootkit组件,它的主要目标是隐藏指示器在内核级的破解,让其作为一个可加载的内核模块加载(LKM)。

研究人员已经发现了两个在外部的XOR.DDoS变体。这两个变体可以被x86,ARM和其他平台很好地编译。

两个恶意软件必须被消灭,俄罗斯的安全公司Dr.Web已经监控到被中国称为“ChinaZ”的恶意软件的活动。一月中旬,恶意软件必须被消灭(MalwareMustDie)就已被报告,这种威胁作用在ShellShock漏洞上,并发送给DDoS恶意软件。

本文地址:http://www.oschina.net/translate/ddos-malware-linux-distributed-ssh-brute-force-attacks

原文地址:http://www.securityweek.com/ddos-malware-linux-distributed-ssh-brute-force-attacks

 本文由用户 jopen 自行上传分享,仅供网友学习交流。所有权归原作者,若您的权利被侵害,请联系管理员。
 转载本站原创文章,请注明出处,并保留原始链接、图片水印。
 本站是一个以用户分享为主的开源技术平台,欢迎各类分享!
 本文地址:https://www.open-open.com/lib/view/open1424696704421.html
SSH 安全相关