攻击者妥协Linux和Windows系统安装设计为发动拒绝服务分布式(DDoS)攻击一个新的恶意软件程序,根据来自波兰的计算机紧急响应小组(CERT波兰)的研究人员。
该恶意软件在12月初发现波兰CERT和Linux版本的部署下对SSH(安全Shell)服务成功的基于字典的密码猜测攻击。仅这意味着系统,允许从Internet远程SSH访问,并与弱口令帐户是在攻击者散发此类恶意软件被泄露的风险。
“我们能够获得一个32位,静态链接,ELF文件”波兰CERT研究人员周一在说博客文章。使用硬编码的IP(互联网协议)地址和端口(C&C)服务器,它们表示在守护进程模式可执行运行并连接到命令和控制。
+ ALSO ON网有个足球雷竞技app络世界2013年最糟糕的安全混战+
第一次运行时,恶意软件发送操作系统的信息 - uname命令的输出 - 回C&C服务器并等待指令。
“从分析中我们能够确定有四种可能的攻击,他们每个人的DDoS攻击上定义的目标发动攻击,”研究人员说。“一种可能性是DNS扩增攻击,其中的请求时,含有256个随机的或先前定义的查询被发送到DNS服务器。也还有其他的,未实现的功能,这可能是为了利用,以便在HTTP协议执行DDoS攻击“。
在执行攻击,恶意软件提供了有关正在运行的任务,CPU的速度,系统负载和网络连接速度信息反馈给C&C服务器。
DDoS攻击的一个变种恶意软件也存在于安装它为“C:\ Program Files文件\ DbProtectSupport \ svchost.exe的” Windows系统,并设置为在系统启动时服务运行。
不像Linux版本,使用的域名,而不是IP地址和不同的端口通信,根据波兰CERT分析Windows的变种所连接的C&C服务器。然而,在使用Linux和Windows上相同的C&C服务器的变种,导致波兰CERT研究人员得出结论,他们由同组创建。
由于此恶意软件的设计几乎完全是为DDoS攻击,其背后的攻击者在他们的处置影响与显著的网络带宽的计算机,如服务器可能感兴趣。“这也可能是为什么有机器人的两个版本的原因 - Linux操作系统是服务器机器的热门选择,”研究人员说。
然而,这并非设计用于Linux的唯一的恶意软件程序,这是最近鉴定。
从乔治·华盛顿大学的一位安全研究员安德烈·迪米诺,最近发现并允许攻击者自己的蜜罐Linux系统的一个妥协后,分析用Perl编写的恶意僵尸。
攻击者试图利用一个老PHP漏洞,所以DiMino故意配置他的系统是脆弱的,所以他可以追踪他们的意图。该漏洞被称为CVE-2012年至1823年在PHP 5.4.3和PHP 5.3.13于2012年5月被修补,这表明攻击针对的目标被忽视的服务器,其PHP安装还没有在很长一段时间被更新。
让他的蜜罐系统受到破坏后,DiMino锯攻击部署恶意软件编写的Perl连接到攻击者的命令和控制使用互联网中继聊天(IRC)服务器。僵尸程序,然后下载本地权限提升漏洞和一个脚本来执行比特币和Primecoin采矿 - 一个操作,即使用的计算能力来生成虚拟货币。
“与这些各种脚本注入大多数服务器,然后用于各种任务,包括DDoS攻击,漏洞扫描,并利用” DiMino周二表示,在博客文章它提供了攻击的详细分析。“虚拟货币的采矿现在经常看到攻击者的‘停工’期间,在后台运行。”
DiMino的报告是从后安全厂商赛门铁克的研究人员在十一月警告说,同样的PHP漏洞已被利用通过一个新的Linux蠕虫病毒。
赛门铁克研究人员发现,不仅适用于x86 Linux的PC,同时也为与ARM,PPC,MIPS和MIPSEL架构Linux系统的蠕虫病毒版本。这导致他们得出的结论是蠕虫背后的攻击者也瞄准了家用路由器,IP摄像机,机顶盒等嵌入式系统与基于Linux的固件。