通过 SSH 蛮力攻击方式的 Linux 发行版 DDoS 恶意软件

jopen 9年前

FireEye 的研究人员侦测到一次攻击活动中,恶意攻击者使用了 Secure Shell (SSH) 暴力破解攻击方式来在Linux和其他类型的系统上安装了一份 DDoS 攻击恶意软件

这个叫做 XOR.DDoS 的恶意软件, 早在9月就被恶意软件必死研究组(Malware Must Die)发现, 他们将其链接到了一个中国演员的网页。XOR.DDoS 不同于其他的 DDoS 攻击机器人,因为它使用 C/C++ 编写的,且为了攻击的持久性,它还运用了一个rootkit组件。

FireEye 于十一月中旬开始分析 XOR DDoS,当时发现有SSH暴力破解攻击其全球威胁研究网络,来自属于Hee Thai有限公司的IP地址, 这明显是一家总部设在香港的机构. 安全机构发现首个24小时时段内每台服务器有超过20000次的SSH尝试登陆.

该攻击活动的第二个阶段发生在十一月19到30日. 到了11月底,FireEye已经观察到大约15万次尝试登陆,几乎全部都来自于Hee Thai有限公司的IP地址. 第三阶段,据研究人员声称比前两个阶段更加的“混乱”,开始于12月7日,且今天仍在继续. 1月底已经发现每台服务器有将近100万次的尝试登陆发生.

在一个SSH密码被暴力破解成功的情况下,攻击者会登录到目标服务器,并执行SSH的shell命令. 他们会从目标设备处提取到内核的头文件和版本字符串,利用这些来在其复杂的构建系统上创建按需求编译的恶意软件.

一旦安装在系统之上,XOR.DDoS 恶意软件就会连接到它的命令和控制(C&C)服务器 , 从那里他就能获得一个目标的清单. 除了 DDoS 攻击, 机器人还能够下载和执行二进制文件,并且他还能够利用一个自我进化的特性来用新的变种替换其自身.

攻击的受害者所要面临的问题是,攻击者所使用的SSH命令并不会显示在日志中,FireEye 如是说.

“运行标准OpenSSH服务器的 Linux 服务器只会在日志中看到一次成功的登陆,马上跟着一次退出,此外没有其它任何动作,” FireEye 的研究者们在一片 博文 中描述道. “这是 OpenSSH 的一个常用特性, 有趣的是,它避开了Linux的日志设施. 即使对日志功能做最详细的设置,OpenSSH 服务器也不会记录远程命令的操作日志.”

安全公司说,rootkit组件,它的主要目标是隐藏指示器在内核级的破解,让其作为一个可加载的内核模块加载(LKM)。

研究人员已经发现了两个在外部的XOR.DDoS变体。这两个变体可以被x86,ARM和其他平台很好地编译。

两个恶意软件必须被消灭,俄罗斯的安全公司Dr.Web已经监控到被中国称为“ChinaZ”的恶意软件的活动。一月中旬,恶意软件必须被消灭(MalwareMustDie)就已被报告,这种威胁作用在ShellShock漏洞上,并发送给DDoS恶意软件。