一款高端精密的DDoS定制工具包
一款應用于Linux系統(包括ARM架構的嵌入式設備)的惡意軟件,采用高端精密的定制內核工具包。
這款惡意軟件名為XOR.DDoS,由安全研究機構“惡意軟件必須死”在去年9月首次發現。但它此后又經歷了進化升級。安全公司火眼仔細分析了這一威脅,并發布安全報告稱XOR.DDoS出現了新的版本。
XOR.DDoS 通過SSH暴力破解,利用不同的字典猜解技術,在以往的數據泄露積累的密碼列表基礎上嘗試猜出超級用戶(root)密碼。火眼的監測結果顯示:一臺目標服務器上24小時內就有超過2萬次SSH登錄嘗試,在11月中旬到1月下旬期間有超過100萬次每臺服務器的登錄嘗試頻率。
一旦攻擊者成功猜出root用戶密碼,便會向服務器發送一段復雜的SSH遠程指令——由多條shell命令(以分號分隔)組成,有時候其長度會超過6千字符。作為一個復雜精密的感染鏈的一環,這些指令會下載并執行各種腳本。這條感染鏈依賴于一個按需生成惡意程序的系統。
攻擊中SSH遠程指令的使用是非常重要的一環,因為OpenSSH不記錄這類指令,“即使已經配置了最詳細的日志跟蹤也不會記錄下來。”火眼研究員說:“其 原因在于遠程指令不創建終端會話,終端日志系統也不捕捉這些事件。last和lastlog指令,也就是顯示最近登錄用戶列表的指令,同樣無視了SSH遠 程登錄。”
最初的腳本查詢被感染系統的Linux內核頭文件,從存在的可加載內核(LKMs)中抽取vermagic字符串。這一信息被發回攻擊者控制的服務器,用以自動創建為每個受感染系統特別定制的具有LKMs功能的工具包。
這一精密的定制架構自動創建適應不同內核和架構的LKM工具包,因為想在特定內核上運行就得針對其進行編譯。
“不同于內核應用程序編程接口(API)穩定而代碼兼容的Windows,Linux內核沒有這樣的API,其內核構件每個版本都不同,LKM與內核必須二進制兼容。”
這個定制工具包的目的就是隱藏與XOR.DDoS關聯的進程、文件和端口。另一個惡意程序也被安裝到目標系統中,主要用于供攻擊者展開分布式拒絕服務(DDoS)攻擊。
“但是,與典型的直接DDoS僵尸網絡不同,XOR.DDoS屬于針對Linux操作系統的更加高端復雜的惡意軟件家族,而且是多平臺的,其源代碼由C/C++構建,可以被編譯到x86、ARM和其他平臺上。”
XOR.DDoS也能下載和執行任意二進制文件,這一特性使其擁有了自升級的能力。迄今為止,火眼發現了XOR.DDoS的兩個主要版本,第二個主版本是在12月底發現的。
火眼研究員表示,網絡和嵌入式設備更容易遭受SSH暴力攻擊,終端用戶無力防護。
有很多嵌入式設備都被配置為可以遠程管理,而且可以從互聯網上接入。2012年,一位匿名研究員就劫持了42萬部使用默認密碼或無telnet登錄密碼的嵌 入式設備。作為研究項目Internet Census 2012(2012年全球可攻擊利用的嵌入式設備熱點分布圖)的一個部分,他用這些設備掃描了整個互聯網。
能用SSH登錄還使用弱密碼而對類似XOR.DDoS用過的復雜暴力攻擊毫無抵抗力的設備,其數量很可能遠遠不止這些。
如果可能,這些設備上的SSH服務器應被配置為使用加密密鑰而非密碼進行認證,還要禁止root帳戶的遠程登錄功能。“家庭和小型企業用戶可以安裝開源的fail2ban工具用iptables進行暴力攻擊的檢測和封鎖。”
原文地址:http://www.aqniu.com/tools/6639.html
