來自Linux的吶喊:主人!長點心吧!
E安全2月25日訊 黑客正在利用 SSH 暴力攻擊以接管僅使用弱口令保護的 Linux 系統,並向其中部署一套名為 Chaos 的後門。這種惡意軟體的攻擊在2017年6月被安全社區陸續發現,最近的現身在安全公司 GoSecure 的分析報告當中。
Chaos 源自2013年的 sebd 工具集
根據 GoSecure 方面的專家們表示,該後門其實並非新生事物,而是「sbd」 Linux 工具集中的組件之一。該組件則於2013年被小範圍使用,而後又在 HackForums 論壇上以免費形式提供下載。目前來看,有人從 sebd 工具集源代碼當中將該後門提取了出來,並將其重新命名為「Chaos」,且目前利用其作為Linux伺服器攻擊活動中的第一階段 Playload。
在 GoSecure 發現的攻擊活動當中,黑客們利用 Chaos 進行惡意轉儲,旨在將被入侵的 Linux 肉雞綁定至通過 IRC 協議所控制的殭屍網路內。
Chaos 本身並不算先進,也沒有利用任何新的安全漏洞。Linux 大師兼至頂網記者史蒂芬·J·沃恩尼柯爾斯於本周率先指出,該後門實際上並不依賴於任何漏洞利用機制,而只是抓住了伺服器管理員犯下的低級錯誤——即未能為伺服器設置高強度密碼。
Chaos巧妙迴避防火牆
有趣的是,Chaos會在埠8338上打開一個原始套接字(socket),並立足於此進行命令監聽。
GoSecure 的專家們表示:「合格的防火牆都能夠阻止傳入的數據包進入任何未出於明確操作目的而被開啟的埠。然而,對於使用原始套接字的 Chaos 而言,其完全能夠藉助現有合法服務的埠以實現後門觸發。」
除了允許 Chaos 正常起效且不干擾已經在該埠上運行的合法服務外,這種原始套接字利用手法還能夠讓伺服器管理員在運行基礎命令nestat -w檢查時,不會發現該後門進程。
由於 Chaos 並不會單獨出現,而是至少會配合一個具有遠程代碼執行能力的 IRC Bot,因此E安全建議用戶利用可靠的備份對受感染主機進行全新安裝,同時使用一組新的登錄憑證。
註:本文由E安全編譯報道,轉載請註明原文地址
https://www.easyaq.com/news/1835131802.shtml
TAG:E安全 |