[转载] 攻防最前线：ESET发现21个Linux恶意软件

hacked

下载 (371.47 KB)

2018-12-9 19:35

尽管Linux是一个比被人们广泛使用的Windows安全得多的操作系统，但它并非不受错误配置和恶意软件感染的影响。

在过去的十年中，针对Linux的恶意软件家族的数量虽然有所增加，但与攻击Windows系统的恶意软件数量相比，其威胁因子的数量级仍然比Windows低。因此，网络安全公司对Linux恶意软件生态系统的关注度也远远不及Windows。所以，部分Linux恶意软件在“兴风作浪”四年之后才被发现也不足为奇。

网络安全公司ESET在12月5日的报告中，详细介绍了21个“新”（软件本身可能并非最近产生，只是此前未被公开指出）Linux恶意软件。这些恶意软件都与被木马感染的OpenSSH客户端运行方式相同。

它们是作为第二阶段工具开发的，可以被部署在更复杂的“僵尸网络”方案中。攻击者会破坏Linux系统，先是服务器，然后用其中一个木马化版本替换合法的OpenSSH版本。

ESET表示，“21个Linux恶意软件中有18个具有凭证窃取功能，使密码/密钥窃取成为可能；17个具有后门模式，允许攻击者采用隐秘且持久的方式连接到受感染的机器。”

下载 (68.6 KB)

2018-12-9 19:35

这些恶意软件应用本身并不新。ESET的研究人员表示恶意软件的发现应“归功于”恶意软件创建者Windigo（又名为Ebury）。研究者在分析Windigo僵尸网络及其Ebury后门时，他们发现Ebury的内部机制可以扫描其他本地安装的OpenSSH后门。Windigo团队使用Perl脚本扫描40个文件签名(散列)，而众所周知这些签名是由相互竞争的恶意软件团伙部署的。

ESET的恶意软件分析师Marc-Etienne M. Leveille说：“当我们研究这些签名时，很快意识到，我们没有与脚本中描述的大部分后门匹配的样本。恶意软件运营商实际上比我们拥有更多的知识和对SSH后台的了解。”

ESET在过去几年中一直使用相同的40个文件签名列表来搜索这些恶意软件家族。其中原始形态的40个恶意软件此前从未被发现过，可能是因为被创造者融入在其他恶意软件中，但里面21个被木马感染的OpenSSH后门在随后几年仍然被继续使用。

ESET在报告中详细介绍了这21种恶意软件，其中有些部署非常简单，但也不乏可能由经验丰富的开发人员部署的复杂恶意软件。Linux服务器管理员可以使用报告中包含的妥协指标（IOC）来扫描系统中是否存在这些威胁。报告没有详细介绍僵尸网络运营商如何在受感染的主机上植入这些后门OpenSSH版本。但根据我们从之前关于Linux恶意软件操作的了解，威胁演员通常依靠相同的技术来获得Linux系统的立足点：

    试图猜测SSH密码的暴力破解或字典攻击。使用强大或唯一的密码或用于SSH登录的IP过滤系统应该可以防止这些类型的攻击。
    利用在Linux服务器上运行的应用程序中的漏洞（例如Web应用程序，CMS等）。如果应用程序/服务错误配置了root访问权限，或者攻击者利用了权限提升漏洞，则可以轻松地将初始WordPress插件漏洞升级到底层操作系统。时刻保持更新，操作系统和运行在其上的应用程序应该可以防止这些类型的攻击。
    除非Linux用户不顾一切地错误配置他们的服务器，否则为了方便起见，他们应该能对大多数攻击免疫。