Malware pentru Linux distribuit prin atacuri brute force

121114-linux-malware-1-100535381-gallery.idgeCercetatorii de la compania de securitate FireEye monitorizeaza o campanie malware in care atacatorii folosesc atacuri brute force asupra protocolului Secure Shell (SSH) pentru a instala un malware DDoS pe sisteme de operare Linux, dar si alte tipuri de sisteme.

Malware-ul, denumit XOR.DDoS, a fost detectat pentru prima data in septembrie de catre grupul de cercetare Malware Must Die. Se pare ca XOR.DDoS este diferit de alti boti DDoS, deoarece este scris in C/C++ si foloseste o componenta rootkit pentru a-si ascunde mai bine urmele.

FireEye a inceput sa analizeze XOR.DDoS la mijlocul lunii noiembrie, atunci cand a depistat atacuri brute force SSH in reteaua sa globala, provenind de pe adrese IP care apartin de Hee Thai Limited, o organizatie cu sediul in Hong Kong. In primele 24 de ore, FireEye a inregistrat peste 20.000 de tentative de autentificare SSH per server.

A doua etapa a campaniei a avut loc intre 19 – 30 noiembrie. Pana la sfarsitul lunii noiembrie, FireEye a observat aproximativ 150.000 de incercari de autentificare de pe aproape fiecare adresa IP care aparține de Hee Thai Limited.

A treia etapa, care potrivit cercetatorilor, este mai “haotica” decat cele doua anterioare, a inceput pe 7 decembrie si continua chiar si astazi. Pana la sfarsitul lunii ianuarie au fost inregistrate aproape 1 milion de incercari de autentificare pe fiecare server FireEye.

In cazul in care o parola SSH este sparta cu succes, atacatorii se logheaza pe serverul vizat si executa comenzi din shell pentru a extrage informatii despre kernel si despre versiunile software-urilor folosite. Apoi, utilizeaza aceste informatii pentru a crea malware personalizat pentru fiecare sistem in parte.

Odata instalat pe un sistem, malware-ul XOR.DDoS se conecteaza la serverul de comanda si control pentru a-si actualiza lista de obiective. In plus fata de atacuri DDoS, botul este capabil sa descarce si sa execute fisire binare, si isi poate face singur auto-update la o versiune mai noua.

Leave a Reply

Your email address will not be published. Required fields are marked *