一款高端精密的DDoS定制工具包

简介:
+关注继续查看

一款应用于Linux系统(包括ARM架构的嵌入式设备)的恶意软件,采用高端精密的定制内核工具包。

一款高端精密的DDoS定制工具包

这款恶意软件名为XOR.DDoS,由安全研究机构“恶意软件必须死”在去年9月首次发现。但它此后又经历了进化升级。安全公司火眼仔细分析了这一威胁,并发布安全报告称XOR.DDoS出现了新的版本。

XOR.DDoS 通过SSH暴力破解,利用不同的字典猜解技术,在以往的数据泄露积累的密码列表基础上尝试猜出超级用户(root)密码。火眼的监测结果显示:一台目标服务器上24小时内就有超过2万次SSH登录尝试,在11月中旬到1月下旬期间有超过100万次每台服务器的登录尝试频率。

一旦攻击者成功猜出root用户密码,便会向服务器发送一段复杂的SSH远程指令——由多条shell命令(以分号分隔)组成,有时候其长度会超过6千字符。作为一个复杂精密的感染链的一环,这些指令会下载并执行各种脚本。这条感染链依赖于一个按需生成恶意程序的系统。

攻击中SSH远程指令的使用是非常重要的一环,因为OpenSSH不记录这类指令,“即使已经配置了最详细的日志跟踪也不会记录下来。”火眼研究员说:“其 原因在于远程指令不创建终端会话,终端日志系统也不捕捉这些事件。last和lastlog指令,也就是显示最近登录用户列表的指令,同样无视了SSH远 程登录。”

最初的脚本查询被感染系统的Linux内核头文件,从存在的可加载内核(LKMs)中抽取vermagic字符串。这一信息被发回攻击者控制的服务器,用以自动创建为每个受感染系统特别定制的具有LKMs功能的工具包。

这一精密的定制架构自动创建适应不同内核和架构的LKM工具包,因为想在特定内核上运行就得针对其进行编译。

“不同于内核应用程序编程接口(API)稳定而代码兼容的Windows,Linux内核没有这样的API,其内核构件每个版本都不同,LKM与内核必须二进制兼容。”

这个定制工具包的目的就是隐藏与XOR.DDoS关联的进程、文件和端口。另一个恶意程序也被安装到目标系统中,主要用于供攻击者展开分布式拒绝服务(DDoS)攻击。

“但是,与典型的直接DDoS僵尸网络不同,XOR.DDoS属于针对Linux操作系统的更加高端复杂的恶意软件家族,而且是多平台的,其源代码由C/C++构建,可以被编译到x86、ARM和其他平台上。”

XOR.DDoS也能下载和执行任意二进制文件,这一特性使其拥有了自升级的能力。迄今为止,火眼发现了XOR.DDoS的两个主要版本,第二个主版本是在12月底发现的。

火眼研究员表示,网络和嵌入式设备更容易遭受SSH暴力攻击,终端用户无力防护。

有很多嵌入式设备都被配置为可以远程管理,而且可以从互联网上接入。2012年,一位匿名研究员就劫持了42万部使用默认密码或无telnet登录密码的嵌 入式设备。作为研究项目Internet Census 2012(2012年全球可攻击利用的嵌入式设备热点分布图)的一个部分,他用这些设备扫描了整个互联网。

能用SSH登录还使用弱密码而对类似XOR.DDoS用过的复杂暴力攻击毫无抵抗力的设备,其数量很可能远远不止这些。

如果可能,这些设备上的SSH服务器应被配置为使用加密密钥而非密码进行认证,还要禁止root帐户的远程登录功能。“家庭和小型企业用户可以安装开源的fail2ban工具用iptables进行暴力攻击的检测和封锁。”

作者:nana


来源:51CTO

相关文章
|
7月前
|
数据采集 监控 网络协议
工控CTF_纵横网络靶场_工控蜜罐日志分析
工控CTF_纵横网络靶场_工控蜜罐日志分析
工控CTF_纵横网络靶场_工控蜜罐日志分析
|
云安全 网络协议 安全
新型DDoS来袭 | 基于STUN协议的DDoS反射攻击分析
作为新型反射类型,目前仍存绕过防御可能性。
2105 0
|
安全 物联网 物联网安全
Metasploit物联网安全渗透测试增加对硬件的支持
本文讲的是Metasploit物联网安全渗透测试增加对硬件的支持,开源的Metasploit渗透测试框架新增加了对硬件的支持,使研究人员能够借此研究物联网设备,汽车被选作首个研究用例。
1245 0
|
安全 物联网 Linux
全新物联网/Linux 恶意软件攻击数字视频录像机并组建僵尸网络
本文讲的是全新物联网/Linux 恶意软件攻击数字视频录像机并组建僵尸网络,Palo Alto Networks 威胁情报小组Unit 42近日发布报告,宣称发现物联网/Linux僵尸网络Tsunami的最新变种并命名为Amnesia。
1279 0
|
安全 Linux 网络安全
一款高端精密的DDoS定制工具包
本文讲的是一款高端精密的DDoS定制工具包,一款应用于Linux系统(包括ARM架构的嵌入式设备)的恶意软件,采用高端精密的定制内核工具包。
1382 0
|
负载均衡 安全 网络协议
推荐文章
更多