一款應(yīng)用于Linux系統(tǒng)(包括ARM架構(gòu)的嵌入式設(shè)備)的惡意軟件，采用高端精密的定制內(nèi)核工具包。

[[128098]]

這款惡意軟件名為XOR.DDoS，由安全研究機構(gòu)“惡意軟件必須死”在去年9月首次發(fā)現(xiàn)。但它此后又經(jīng)歷了進化升級。安全公司火眼仔細分析了這一威脅，并發(fā)布安全報告稱XOR.DDoS出現(xiàn)了新的版本。

XOR.DDoS 通過SSH暴力破解，利用不同的字典猜解技術(shù)，在以往的數(shù)據(jù)泄露積累的密碼列表基礎(chǔ)上嘗試猜出超級用戶(root)密碼。火眼的監(jiān)測結(jié)果顯示：一臺目標服務(wù)器上24小時內(nèi)就有超過2萬次SSH登錄嘗試，在11月中旬到1月下旬期間有超過100萬次每臺服務(wù)器的登錄嘗試頻率。

一旦攻擊者成功猜出root用戶密碼，便會向服務(wù)器發(fā)送一段復雜的SSH遠程指令——由多條shell命令(以分號分隔)組成，有時候其長度會超過6千字符。作為一個復雜精密的感染鏈的一環(huán)，這些指令會下載并執(zhí)行各種腳本。這條感染鏈依賴于一個按需生成惡意程序的系統(tǒng)。

攻擊中SSH遠程指令的使用是非常重要的一環(huán)，因為OpenSSH不記錄這類指令，“即使已經(jīng)配置了最詳細的日志跟蹤也不會記錄下來。”火眼研究員說：“其 原因在于遠程指令不創(chuàng)建終端會話，終端日志系統(tǒng)也不捕捉這些事件。last和lastlog指令，也就是顯示最近登錄用戶列表的指令，同樣無視了SSH遠 程登錄。”

最初的腳本查詢被感染系統(tǒng)的Linux內(nèi)核頭文件，從存在的可加載內(nèi)核(LKMs)中抽取vermagic字符串。這一信息被發(fā)回攻擊者控制的服務(wù)器，用以自動創(chuàng)建為每個受感染系統(tǒng)特別定制的具有LKMs功能的工具包。

這一精密的定制架構(gòu)自動創(chuàng)建適應(yīng)不同內(nèi)核和架構(gòu)的LKM工具包，因為想在特定內(nèi)核上運行就得針對其進行編譯。

“不同于內(nèi)核應(yīng)用程序編程接口(API)穩(wěn)定而代碼兼容的Windows，Linux內(nèi)核沒有這樣的API，其內(nèi)核構(gòu)件每個版本都不同，LKM與內(nèi)核必須二進制兼容。”

這個定制工具包的目的就是隱藏與XOR.DDoS關(guān)聯(lián)的進程、文件和端口。另一個惡意程序也被安裝到目標系統(tǒng)中，主要用于供攻擊者展開分布式拒絕服務(wù)(DDoS)攻擊。

“但是，與典型的直接DDoS僵尸網(wǎng)絡(luò)不同，XOR.DDoS屬于針對Linux操作系統(tǒng)的更加高端復雜的惡意軟件家族，而且是多平臺的，其源代碼由C/C++構(gòu)建，可以被編譯到x86、ARM和其他平臺上。”

XOR.DDoS也能下載和執(zhí)行任意二進制文件，這一特性使其擁有了自升級的能力。迄今為止，火眼發(fā)現(xiàn)了XOR.DDoS的兩個主要版本，第二個主版本是在12月底發(fā)現(xiàn)的。

火眼研究員表示，網(wǎng)絡(luò)和嵌入式設(shè)備更容易遭受SSH暴力攻擊，終端用戶無力防護。

有很多嵌入式設(shè)備都被配置為可以遠程管理，而且可以從互聯(lián)網(wǎng)上接入。2012年，一位匿名研究員就劫持了42萬部使用默認密碼或無telnet登錄密碼的嵌 入式設(shè)備。作為研究項目Internet Census 2012(2012年全球可攻擊利用的嵌入式設(shè)備熱點分布圖)的一個部分，他用這些設(shè)備掃描了整個互聯(lián)網(wǎng)。

能用SSH登錄還使用弱密碼而對類似XOR.DDoS用過的復雜暴力攻擊毫無抵抗力的設(shè)備，其數(shù)量很可能遠遠不止這些。

如果可能，這些設(shè)備上的SSH服務(wù)器應(yīng)被配置為使用加密密鑰而非密碼進行認證，還要禁止root帳戶的遠程登錄功能。“家庭和小型企業(yè)用戶可以安裝開源的fail2ban工具用iptables進行暴力攻擊的檢測和封鎖。”

原文地址：http://www.aqniu.com/tools/6639.html