據(jù)ESET 研究人員表示，自 2009 年以來，一個(gè)名為 "Ebury "的惡意軟件僵尸網(wǎng)絡(luò)已經(jīng)感染了近 40 萬臺 Linux 服務(wù)器，截至 2023 年底，仍有約 10 萬臺服務(wù)器受到攻擊。

以下是 ESET 自 2009 年以來記錄的 Ebury 感染情況，可見隨著時(shí)間的推移，感染量明顯增長。

Ebury攻擊量隨時(shí)間變化，來源：ESET

在近日發(fā)布的最新更新中，ESET報(bào)告稱，最近的一次執(zhí)法行動使他們得以深入了解惡意軟件在過去15年中的活動。雖然 40萬是一個(gè)龐大的數(shù)字，但這的確是近 15 年來的入侵?jǐn)?shù)量。不過這些并非是在同一時(shí)間被入侵的。

ESET解釋說：在其他服務(wù)器被清理或退役的同時(shí)，不斷有新的服務(wù)器被入侵。研究所掌握的數(shù)據(jù)并不能說明攻擊者何時(shí)失去了對系統(tǒng)的訪問權(quán)限，因此很難知道僵尸網(wǎng)絡(luò)在任何特定時(shí)間點(diǎn)的規(guī)模。

Ebury 的最新策略

最近的 Ebury 攻擊表明，操作者傾向于入侵托管提供商，并對租用被入侵提供商虛擬服務(wù)器的客戶實(shí)施供應(yīng)鏈攻擊。

最初的入侵是通過憑證填充攻擊進(jìn)行的，使用竊取的憑證登錄服務(wù)器。一旦服務(wù)器被入侵，惡意軟件就會從 wtmp 和 known_hosts 文件中滲出入站/出站 SSH 連接列表，并竊取 SSH 身份驗(yàn)證密鑰，然后利用這些密鑰嘗試登錄其他系統(tǒng)。

ESET 的詳細(xì)報(bào)告中寫道：當(dāng) known_hosts 文件包含散列信息時(shí)，作案者會嘗試對其內(nèi)容進(jìn)行暴力破解。

在 Ebury 操作員收集的 480 萬個(gè) known_hosts 條目中，約有 200 萬個(gè)條目對其主機(jī)名進(jìn)行了散列。在這些散列主機(jī)名中，40%（約 80 萬個(gè)）是猜測或暴力獲取的。

另外，在可能的情況下，攻擊者還可能利用服務(wù)器上運(yùn)行的軟件中已知的漏洞來獲得進(jìn)一步的訪問權(quán)限或提升他們的權(quán)限。

Ebury攻擊鏈，來源：ESET

托管提供商的基礎(chǔ)設(shè)施（包括 OpenVZ 或容器主機(jī)）可用于在多個(gè)容器或虛擬環(huán)境中部署 Ebury。

在下一階段，惡意軟件操作員通過使用地址解析協(xié)議（ARP）欺騙攔截這些數(shù)據(jù)中心內(nèi)目標(biāo)服務(wù)器上的 SSH 流量，將流量重定向到其控制的服務(wù)器。

一旦用戶通過 SSH 登錄受攻擊的服務(wù)器，Ebury 就會捕獲登錄憑證。

中路進(jìn)攻戰(zhàn)術(shù)，來源：ESET

在服務(wù)器托管加密貨幣錢包的情況下，Ebury 會使用捕獲的憑據(jù)自動清空錢包。據(jù)悉，2023 年Ebury 使用這種方法攻擊了至少 200 臺服務(wù)器，其中包括比特幣和以太坊節(jié)點(diǎn)。

不過，這些貨幣化策略各不相同，還包括竊取輸入支付網(wǎng)站的信用卡信息、重定向網(wǎng)絡(luò)流量以從廣告和聯(lián)盟計(jì)劃中獲取收入、利用被攻陷的服務(wù)器發(fā)送垃圾郵件以及出售捕獲的憑據(jù)。

注入主要有效載荷的進(jìn)程，來源：ESET

在 2023 年底，ESET 觀察到該軟件引入了新的混淆技術(shù)和新的域生成算法 (DGA) 系統(tǒng)，使僵尸網(wǎng)絡(luò)能夠躲避檢測并提高其抵御攔截的能力。

而根據(jù) ESET 的最新發(fā)現(xiàn)，通過 Ebury 僵尸網(wǎng)絡(luò)傳播的惡意軟件模塊有：

• HelimodProxy： 通過修改mod_dir.so Apache模塊代理原始流量和轉(zhuǎn)發(fā)垃圾郵件，允許被入侵的服務(wù)器運(yùn)行任意命令并支持垃圾郵件活動。
• HelimodRedirect： 通過修改各種 Apache 和 nginx 模塊，將 HTTP 流量重定向到攻擊者控制的網(wǎng)站，從而將一小部分網(wǎng)絡(luò)流量重定向到惡意網(wǎng)站。
• HelimodSteal： 通過添加一個(gè)輸入過濾器，攔截并竊取通過網(wǎng)絡(luò)表單提交的數(shù)據(jù)（如登錄憑證和支付詳情），從而從 HTTP POST 請求中竊取敏感信息。
• KernelRedirect： 通過使用掛接 Netfilter 的 Linux 內(nèi)核模塊，在內(nèi)核級別修改 HTTP 流量以重定向訪問者，改變 HTTP 響應(yīng)中的位置標(biāo)頭，將用戶重定向到惡意 URL。
• FrizzySteal： 通過掛鉤 libcurl 來攔截和滲透 HTTP 請求，使其能夠捕獲和竊取被入侵服務(wù)器發(fā)出的 HTTP 請求中的數(shù)據(jù)。

Ebury的惡意軟件模塊，來源：ESET

ESET 的最新調(diào)查是與荷蘭國家高科技犯罪小組（NHTCU）合作進(jìn)行的，該小組最近查獲了網(wǎng)絡(luò)犯罪分子使用的備份服務(wù)器。

荷蘭當(dāng)局稱，Ebury 的行為者使用通過 Vidar Stealer偽造或盜用的身份，有時(shí)甚至冒用其他網(wǎng)絡(luò)犯罪分子的綽號來誤導(dǎo)執(zhí)法部門。

目前，NHTCU 正在調(diào)查在該服務(wù)器中發(fā)現(xiàn)的證據(jù)，包括包含歷史記錄和保存的登錄信息等網(wǎng)絡(luò)瀏覽痕跡的虛擬機(jī)，但目前還沒有新發(fā)現(xiàn)。