一款高端精密的DDoS定制工具包

一款应用于Linux系统(包括ARM架构的嵌入式设备)的恶意软件，采用高端精密的定制内核工具包。

这款恶意软件名为XOR.DDoS，由安全研究机构“恶意软件必须死”在去年9月首次发现。但它此后又经历了进化升级。安全公司火眼仔细分析了这一威胁，并发布安全报告称XOR.DDoS出现了新的版本。

XOR.DDoS 通过SSH暴力破解，利用不同的字典猜解技术，在以往的数据泄露积累的密码列表基础上尝试猜出超级用户(root)密码。火眼的监测结果显示：一台目标服务器上24小时内就有超过2万次SSH登录尝试，在11月中旬到1月下旬期间有超过100万次每台服务器的登录尝试频率。

一旦攻击者成功猜出root用户密码，便会向服务器发送一段复杂的SSH远程指令——由多条shell命令(以分号分隔)组成，有时候其长度会超过6千字符。作为一个复杂精密的感染链的一环，这些指令会下载并执行各种脚本。这条感染链依赖于一个按需生成恶意程序的系统。

攻击中SSH远程指令的使用是非常重要的一环，因为OpenSSH不记录这类指令，“即使已经配置了最详细的日志跟踪也不会记录下来。”火眼研究员说：“其 原因在于远程指令不创建终端会话，终端日志系统也不捕捉这些事件。last和lastlog指令，也就是显示最近登录用户列表的指令，同样无视了SSH远 程登录。”

最初的脚本查询被感染系统的Linux内核头文件，从存在的可加载内核(LKMs)中抽取vermagic字符串。这一信息被发回攻击者控制的服务器，用以自动创建为每个受感染系统特别定制的具有LKMs功能的工具包。

这一精密的定制架构自动创建适应不同内核和架构的LKM工具包，因为想在特定内核上运行就得针对其进行编译。

“不同于内核应用程序编程接口(API)稳定而代码兼容的Windows，Linux内核没有这样的API，其内核构件每个版本都不同，LKM与内核必须二进制兼容。”

这个定制工具包的目的就是隐藏与XOR.DDoS关联的进程、文件和端口。另一个恶意程序也被安装到目标系统中，主要用于供攻击者展开分布式拒绝服务(DDoS)攻击。

“但是，与典型的直接DDoS僵尸网络不同，XOR.DDoS属于针对Linux操作系统的更加高端复杂的恶意软件家族，而且是多平台的，其源代码由C/C++构建，可以被编译到x86、ARM和其他平台上。”

XOR.DDoS也能下载和执行任意二进制文件，这一特性使其拥有了自升级的能力。迄今为止，火眼发现了XOR.DDoS的两个主要版本，第二个主版本是在12月底发现的。

火眼研究员表示，网络和嵌入式设备更容易遭受SSH暴力攻击，终端用户无力防护。

有很多嵌入式设备都被配置为可以远程管理，而且可以从互联网上接入。2012年，一位匿名研究员就劫持了42万部使用默认密码或无telnet登录密码的嵌 入式设备。作为研究项目Internet Census 2012(2012年全球可攻击利用的嵌入式设备热点分布图)的一个部分，他用这些设备扫描了整个互联网。

能用SSH登录还使用弱密码而对类似XOR.DDoS用过的复杂暴力攻击毫无抵抗力的设备，其数量很可能远远不止这些。

如果可能，这些设备上的SSH服务器应被配置为使用加密密钥而非密码进行认证，还要禁止root帐户的远程登录功能。“家庭和小型企业用户可以安装开源的fail2ban工具用iptables进行暴力攻击的检测和封锁。”

作者：nana

来源：51CTO