一款高端精密的DDoS定制工具包

简介: 本文讲的是一款高端精密的DDoS定制工具包,一款应用于Linux系统(包括ARM架构的嵌入式设备)的恶意软件,采用高端精密的定制内核工具包。

image

本文讲的是一款高端精密的DDoS定制工具包,一款应用于Linux系统(包括ARM架构的嵌入式设备)的恶意软件,采用高端精密的定制内核工具包。

这款恶意软件名为XOR.DDoS,由安全研究机构“恶意软件必须死”在去年9月首次发现。但它此后又经历了进化升级。安全公司火眼仔细分析了这一威胁,并发布安全报告称XOR.DDoS出现了新的版本。

XOR.DDoS 通过SSH暴力破解,利用不同的字典猜解技术,在以往的数据泄露积累的密码列表基础上尝试猜出超级用户(root)密码。火眼的监测结果显示:一台目标服 务器上24小时内就有超过2万次SSH登录尝试,在11月中旬到1月下旬期间有超过100万次每台服务器的登录尝试频率。

一旦攻击者成功猜出root用户密码,便会向服务器发送一段复杂的SSH远程指令——由多条shell命令(以分号分隔)组成,有时候其长度会超过6千字符。作为一个复杂精密的感染链的一环,这些指令会下载并执行各种脚本。这条感染链依赖于一个按需生成恶意程序的系统。

攻 击中SSH远程指令的使用是非常重要的一环,因为OpenSSH不记录这类指令,“即使已经配置了最详细的日志跟踪也不会记录下来。”火眼研究员说:“其 原因在于远程指令不创建终端会话,终端日志系统也不捕捉这些事件。last和lastlog指令,也就是显示最近登录用户列表的指令,同样无视了SSH远 程登录。”

最初的脚本查询被感染系统的Linux内核头文件,从存在的可加载内核(LKMs)中抽取vermagic字符串。这一信息被发回攻击者控制的服务器,用以自动创建为每个受感染系统特别定制的具有LKMs功能的工具包。

这一精密的定制架构自动创建适应不同内核和架构的LKM工具包,因为想在特定内核上运行就得针对其进行编译。

“不同于内核应用程序编程接口(API)稳定而代码兼容的Windows,Linux内核没有这样的API,其内核构件每个版本都不同,LKM与内核必须二进制兼容。”

这个定制工具包的目的就是隐藏与XOR.DDoS关联的进程、文件和端口。另一个恶意程序也被安装到目标系统中,主要用于供攻击者展开分布式拒绝服务(DDoS)攻击。

“但是,与典型的直接DDoS僵尸网络不同,XOR.DDoS属于针对Linux操作系统的更加高端复杂的恶意软件家族,而且是多平台的,其源代码由C/C++构建,可以被编译到x86、ARM和其他平台上。”

XOR.DDoS也能下载和执行任意二进制文件,这一特性使其拥有了自升级的能力。迄今为止,火眼发现了XOR.DDoS的两个主要版本,第二个主版本是在12月底发现的。

火眼研究员表示,网络和嵌入式设备更容易遭受SSH暴力攻击,终端用户无力防护。

有很多嵌入式设备都被配置为可以远程管理,而且可以从互联网上接入。2012年,一位匿名研究员就劫持了42万部使用默认密码或无telnet登录密码的嵌 入式设备。作为研究项目Internet Census 2012(2012年全球可攻击利用的嵌入式设备热点分布图)的一个部分,他用这些设备扫描了整个互联网。

能用SSH登录还使用弱密码而对类似XOR.DDoS用过的复杂暴力攻击毫无抵抗力的设备,其数量很可能远远不止这些。

如果可能,这些设备上的SSH服务器应被配置为使用加密密钥而非密码进行认证,还要禁止root帐户的远程登录功能。“家庭和小型企业用户可以安装开源的fail2ban工具用iptables进行暴力攻击的检测和封锁。”

原文发布时间为:二月 13, 2015
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/tools-tech/6639.html

相关文章
|
15天前
|
存储 安全 数据可视化
如何规避DDoS攻击带来的风险?服务器DDoS防御软件科普
如何规避DDoS攻击带来的风险?服务器DDoS防御软件科普
35 0
|
7天前
|
负载均衡 监控 安全
DDoS 攻击:如何运作及防范之道
【8月更文挑战第31天】
25 1
|
14天前
|
监控 安全 网络安全
保护网络免受 DDoS 攻击的最佳实践
【8月更文挑战第24天】
55 1
|
20天前
|
云安全 负载均衡 安全
CC攻击和DDoS攻击
【8月更文挑战第17天】
42 4
|
17天前
|
安全 物联网 网络安全
300万电动牙刷被当肉鸡拿去DDOS攻击!
一则新闻称300万支电动牙刷被黑客植入恶意软件发动DDoS攻击,后证实为假新闻。此事件源于瑞士一媒体报道,实为采访中提出的假设场景。尽管如此,物联网设备安全问题日益严峻,如智能家居被黑客控制,可能成为攻击工具。电动牙刷虽不易直接用于此类攻击,但提醒我们需加强对所有联网设备的安全防护,包括采用注重安全的供应商、实施零信任安全模型、网络分段等措施,确保设备安全更新并强化物理安全。
|
18天前
|
缓存 负载均衡 安全
如何应对DDoS攻击:技术策略与实践
【8月更文挑战第20天】DDoS攻击作为一种常见的网络威胁,对信息系统的安全稳定运行构成了严峻挑战。通过采用流量清洗、CDN、负载均衡、防火墙与IPS、协议与连接限制、强化网络基础设施、实时监测与响应以及专业DDoS防护服务等策略,企业可以构建更加健壮的防御体系,有效应对DDoS攻击。然而,防御DDoS攻击的最佳方法是预防,企业应定期进行风险评估和安全演练,及时更新和强化安全措施,以提高网络的抵御能力和应对能力。
|
25天前
|
负载均衡 安全 网络协议
DDoS攻击(Distributed Denial of Service)
【8月更文挑战第11天】
52 4
|
7天前
|
云安全 安全 数据库连接
什么是 DoS 和 DDoS 攻击?
【8月更文挑战第31天】
18 0
|
14天前
|
运维 监控 网络协议
下一篇
DDNS