AhnLab安全應(yīng)急響應(yīng)中心（ASEC）發(fā)現(xiàn)了ShellBot惡意軟件的一種新變種，該變種被用于針對Linux SSH服務(wù)器。

ShellBot，也稱為PerlBot，是一個基于Perl的DDoS機器人，使用IRC協(xié)議進行C2通信。

ShellBot 對打開端口 22 的服務(wù)器執(zhí)行 SSH 暴力攻擊，它使用包含已知 SSH 憑據(jù)列表的字典。

ShellBot惡意軟件是攻擊者在目標(biāo)系統(tǒng)上使用掃描儀和SSH暴力破解惡意軟件獲得的帳戶憑據(jù)之后安裝的。在掃描具有可操作端口 22 的系統(tǒng)后，攻擊者會搜索 SSH 服務(wù)處于活動狀態(tài)的系統(tǒng)，并使用常用的 SSH 帳戶憑據(jù)列表來發(fā)起字典攻擊。

以下是 ShellBot 操作員用于危害目標(biāo)服務(wù)器的帳戶憑據(jù)列表：

研究人員將ShellBot分為三個不同的組，因為攻擊者可以創(chuàng)建自己的版本：LiGhT的Modded perlbot v2，DDoS PBot v2.0和PowerBots（C）GohacK。

LiGhT 的 Modded perlbot v2 和 DDoS PBot v2.0 支持使用 HTTP、TCP 和 UDP 協(xié)議的多個 DDoS 攻擊命令。PowerBots （C） GohacK支持后門功能，包括反向shell和文件下載功能。

此外，威脅行為者可以使用各種其他后門功能來安裝其他惡意軟件或從受感染的服務(wù)器發(fā)起不同類型的攻擊。

研究人員建議為管理員帳戶使用強密碼，并定期更改它們，以保護Linux服務(wù)器免受暴力攻擊和字典攻擊。他們還建議使服務(wù)器保持最新狀態(tài)并使用安全程序。

參考鏈接：thehackernews.com/2023/03/new-shellbot-ddos-malware-targeting.html