一款應(yīng)用于Linux系統(tǒng)(包括ARM架構(gòu)的嵌入式設(shè)備)的惡意軟件,采用高端精密的定制內(nèi)核工具包。
這款?lèi)阂廛浖麨閄OR.DDoS,由安全研究機(jī)構(gòu)“惡意軟件必須死”在去年9月首次發(fā)現(xiàn)。但它此后又經(jīng)歷了進(jìn)化升級(jí)。安全公司火眼仔細(xì)分析了這一威脅,并發(fā)布安全報(bào)告稱(chēng)XOR.DDoS出現(xiàn)了新的版本。
XOR.DDoS 通過(guò)SSH暴力破解,利用不同的字典猜解技術(shù),在以往的數(shù)據(jù)泄露積累的密碼列表基礎(chǔ)上嘗試猜出超級(jí)用戶(hù)(root)密碼。火眼的監(jiān)測(cè)結(jié)果顯示:一臺(tái)目標(biāo)服務(wù)器上24小時(shí)內(nèi)就有超過(guò)2萬(wàn)次SSH登錄嘗試,在11月中旬到1月下旬期間有超過(guò)100萬(wàn)次每臺(tái)服務(wù)器的登錄嘗試頻率。
一旦攻擊者成功猜出root用戶(hù)密碼,便會(huì)向服務(wù)器發(fā)送一段復(fù)雜的SSH遠(yuǎn)程指令——由多條shell命令(以分號(hào)分隔)組成,有時(shí)候其長(zhǎng)度會(huì)超過(guò)6千字符。作為一個(gè)復(fù)雜精密的感染鏈的一環(huán),這些指令會(huì)下載并執(zhí)行各種腳本。這條感染鏈依賴(lài)于一個(gè)按需生成惡意程序的系統(tǒng)。
攻擊中SSH遠(yuǎn)程指令的使用是非常重要的一環(huán),因?yàn)镺penSSH不記錄這類(lèi)指令,“即使已經(jīng)配置了最詳細(xì)的日志跟蹤也不會(huì)記錄下來(lái)。”火眼研究員說(shuō):“其 原因在于遠(yuǎn)程指令不創(chuàng)建終端會(huì)話,終端日志系統(tǒng)也不捕捉這些事件。last和lastlog指令,也就是顯示最近登錄用戶(hù)列表的指令,同樣無(wú)視了SSH遠(yuǎn) 程登錄。”
最初的腳本查詢(xún)被感染系統(tǒng)的Linux內(nèi)核頭文件,從存在的可加載內(nèi)核(LKMs)中抽取vermagic字符串。這一信息被發(fā)回攻擊者控制的服務(wù)器,用以自動(dòng)創(chuàng)建為每個(gè)受感染系統(tǒng)特別定制的具有LKMs功能的工具包。
這一精密的定制架構(gòu)自動(dòng)創(chuàng)建適應(yīng)不同內(nèi)核和架構(gòu)的LKM工具包,因?yàn)橄朐谔囟▋?nèi)核上運(yùn)行就得針對(duì)其進(jìn)行編譯。
“不同于內(nèi)核應(yīng)用程序編程接口(API)穩(wěn)定而代碼兼容的Windows,Linux內(nèi)核沒(méi)有這樣的API,其內(nèi)核構(gòu)件每個(gè)版本都不同,LKM與內(nèi)核必須二進(jìn)制兼容。”
這個(gè)定制工具包的目的就是隱藏與XOR.DDoS關(guān)聯(lián)的進(jìn)程、文件和端口。另一個(gè)惡意程序也被安裝到目標(biāo)系統(tǒng)中,主要用于供攻擊者展開(kāi)分布式拒絕服務(wù)(DDoS)攻擊。
“但是,與典型的直接DDoS僵尸網(wǎng)絡(luò)不同,XOR.DDoS屬于針對(duì)Linux操作系統(tǒng)的更加高端復(fù)雜的惡意軟件家族,而且是多平臺(tái)的,其源代碼由C/C++構(gòu)建,可以被編譯到x86、ARM和其他平臺(tái)上。”
XOR.DDoS也能下載和執(zhí)行任意二進(jìn)制文件,這一特性使其擁有了自升級(jí)的能力。迄今為止,火眼發(fā)現(xiàn)了XOR.DDoS的兩個(gè)主要版本,第二個(gè)主版本是在12月底發(fā)現(xiàn)的。
火眼研究員表示,網(wǎng)絡(luò)和嵌入式設(shè)備更容易遭受SSH暴力攻擊,終端用戶(hù)無(wú)力防護(hù)。
有很多嵌入式設(shè)備都被配置為可以遠(yuǎn)程管理,而且可以從互聯(lián)網(wǎng)上接入。2012年,一位匿名研究員就劫持了42萬(wàn)部使用默認(rèn)密碼或無(wú)telnet登錄密碼的嵌 入式設(shè)備。作為研究項(xiàng)目Internet Census 2012(2012年全球可攻擊利用的嵌入式設(shè)備熱點(diǎn)分布圖)的一個(gè)部分,他用這些設(shè)備掃描了整個(gè)互聯(lián)網(wǎng)。
能用SSH登錄還使用弱密碼而對(duì)類(lèi)似XOR.DDoS用過(guò)的復(fù)雜暴力攻擊毫無(wú)抵抗力的設(shè)備,其數(shù)量很可能遠(yuǎn)遠(yuǎn)不止這些。
如果可能,這些設(shè)備上的SSH服務(wù)器應(yīng)被配置為使用加密密鑰而非密碼進(jìn)行認(rèn)證,還要禁止root帳戶(hù)的遠(yuǎn)程登錄功能。“家庭和小型企業(yè)用戶(hù)可以安裝開(kāi)源的fail2ban工具用iptables進(jìn)行暴力攻擊的檢測(cè)和封鎖。”
原文地址:http://www.aqniu.com/tools/6639.html