所有恶意软件都是OpenSSH服务器的木马化版本或包含键盘记录器和后门功能的客户端应用程序。
虽然与更广泛使用的Windows相比,Linux是一种更安全的操作系统,但它不会受到错误配置和恶意软件感染的影响。
在过去十年中,针对Linux的恶意软件系列数量有所增加,但据报道攻击Windows系统的恶意软件数量,威胁总数仍然是数量级。
这种数量较少的威胁导致网络安全公司对Linux恶意软件生态系统的关注程度远低于通常对其Windows对应程序的关注度。
因此,一些Linux恶意软件系列在经过四年多的看不见之后才被发现也就不足为奇了。
在昨天由网络安全公司ESET发布的一份报告中,该公司详细介绍了21个“新”Linux恶意软件系列。所有操作都以与OpenSSH客户端的木马化版本相同的方式运行。
它们是作为第二阶段工具开发的,可以部署在更复杂的“僵尸网络”方案中。攻击者会破坏Linux系统,通常是服务器,然后用其中一个木马化版本替换合法的OpenSSH安装。
ESET表示,“21个家庭中有18个具有凭证窃取功能,可以窃取密码和/或密钥”,并且“21个家庭中有17个具有后门模式,允许攻击者采用隐秘且持久的方式连接到受感染的机器。“
这些恶意软件应用本身并不“新”。ESET的研究人员承认他们没有亲自发现这些菌株。这一荣誉归于另一个名为Windigo(也称为Ebury)的Linux恶意软件的创建者。
ESET表示,在分析Windigo僵尸网络及其核心Ebury后门时,他们发现Ebury的内部机制可以扫描其他本地安装的OpenSSH后门。
ESET表示,Windigo工作人员这样做的方式是使用Perl脚本扫描已知由竞争恶意软件团伙部署的40个文件签名(哈希)。
“当我们查看这些签名时,我们很快意识到我们没有与脚本中描述的大多数后门相匹配的样本,”ESET的恶意软件分析师Marc-EtienneM.Léveillé说。
“恶意软件运营商实际上对我们在野外的SSH后门的知识和可见性比我们更多,”他补充道。
Léveillé表示,ESET在过去几年中一直使用相同的40个文件签名列表来搜索这些恶意软件系列。之前从未发现过一些最初的40种菌株,很可能是因为它们的创造者转向其他恶意软件菌株,但其中21种木马化的OpenSSH后门在接下来的几年中继续被使用。
ESET现已发布了一份长达53页的报告,详细介绍了这21种菌株中的每一种。其中一些恶意软件非常简单,但有些也非常复杂,很可能是有经验的恶意软件开发人员的工作。
Linux服务器管理员可以使用此报告中包含的妥协指标(IOC)来扫描系统中的这些压力。
该报告没有详细介绍僵尸网络运营商如何在受感染的主机上植入这些后门OpenSSH版本。但是,如果我们从之前关于Linux恶意软件操作的报告中学到了什么,那么威胁演员通常依靠相同的技术来获得Linux系统的立足点:
- 试图猜测SSH密码的暴力破解或字典攻击。使用强大或唯一的密码或用于SSH登录的IP过滤系统应该可以防止这些类型的攻击。
- 利用在Linux服务器上运行的应用程序中的漏洞(例如,Web应用程序,CMS等)。如果应用程序/服务错误配置了root访问权限,或者攻击者利用了权限提升漏洞,则可以轻松地将初始WordPress插件漏洞升级到底层操作系统。保持一切最新,操作系统和运行在其上的应用程序应该可以防止这些类型的攻击。
除非Linux用户不顾一切地错误配置他们的服务器,否则为了方便起见,他们应该对大多数这些攻击都是安全的。
閱讀更多 luoxi10449892 的文章
