一款应用于Linux系统(包括ARM架构的嵌入式设备)的恶意软件,采用高端精密的定制内核工具包。
这款恶意软件名为XOR.DDoS,由安全研究机构“恶意软件必须死”在去年9月首次发现。但它此后又经历了进化升级。安全公司火眼仔细分析了这一威胁,并发布安全报告称XOR.DDoS出现了新的版本。
XOR.DDoS 通过SSH暴力破解,利用不同的字典猜解技术,在以往的数据泄露积累的密码列表基础上尝试猜出超级用户(root)密码。火眼的监测结果显示:一台目标服务器上24小时内就有超过2万次SSH登录尝试,在11月中旬到1月下旬期间有超过100万次每台服务器的登录尝试频率。
一旦攻击者成功猜出root用户密码,便会向服务器发送一段复杂的SSH远程指令——由多条shell命令(以分号分隔)组成,有时候其长度会超过6千字符。作为一个复杂精密的感染链的一环,这些指令会下载并执行各种脚本。这条感染链依赖于一个按需生成恶意程序的系统。
攻击中SSH远程指令的使用是非常重要的一环,因为OpenSSH不记录这类指令,“即使已经配置了最详细的日志跟踪也不会记录下来。”火眼研究员说:“其 原因在于远程指令不创建终端会话,终端日志系统也不捕捉这些事件。last和lastlog指令,也就是显示最近登录用户列表的指令,同样无视了SSH远 程登录。”
最初的脚本查询被感染系统的Linux内核头文件,从存在的可加载内核(LKMs)中抽取vermagic字符串。这一信息被发回攻击者控制的服务器,用以自动创建为每个受感染系统特别定制的具有LKMs功能的工具包。
这一精密的定制架构自动创建适应不同内核和架构的LKM工具包,因为想在特定内核上运行就得针对其进行编译。
“不同于内核应用程序编程接口(API)稳定而代码兼容的Windows,Linux内核没有这样的API,其内核构件每个版本都不同,LKM与内核必须二进制兼容。”
这个定制工具包的目的就是隐藏与XOR.DDoS关联的进程、文件和端口。另一个恶意程序也被安装到目标系统中,主要用于供攻击者展开分布式拒绝服务(DDoS)攻击。
“但是,与典型的直接DDoS僵尸网络不同,XOR.DDoS属于针对Linux操作系统的更加高端复杂的恶意软件家族,而且是多平台的,其源代码由C/C++构建,可以被编译到x86、ARM和其他平台上。”
XOR.DDoS也能下载和执行任意二进制文件,这一特性使其拥有了自升级的能力。迄今为止,火眼发现了XOR.DDoS的两个主要版本,第二个主版本是在12月底发现的。
火眼研究员表示,网络和嵌入式设备更容易遭受SSH暴力攻击,终端用户无力防护。
有很多嵌入式设备都被配置为可以远程管理,而且可以从互联网上接入。2012年,一位匿名研究员就劫持了42万部使用默认密码或无telnet登录密码的嵌 入式设备。作为研究项目Internet Census 2012(2012年全球可攻击利用的嵌入式设备热点分布图)的一个部分,他用这些设备扫描了整个互联网。
能用SSH登录还使用弱密码而对类似XOR.DDoS用过的复杂暴力攻击毫无抵抗力的设备,其数量很可能远远不止这些。
如果可能,这些设备上的SSH服务器应被配置为使用加密密钥而非密码进行认证,还要禁止root帐户的远程登录功能。“家庭和小型企业用户可以安装开源的fail2ban工具用iptables进行暴力攻击的检测和封锁。”
作者:nana
来源:51CTO
