未加星标

攻防最前线:ESET发现21个Linux恶意软件

字体大小 | |
[系统(linux) 所属分类 系统(linux) | 发布者 店小二03 | 时间 2018 | 作者 红领巾 ] 0人收藏点击收藏

攻防最前线:ESET发现21个Linux恶意软件

尽管linux是一个比被人们广泛使用的windows安全得多的操作系统,但它并非不受错误配置和恶意软件感染的影响。

在过去的十年中,针对Linux的恶意软件家族的数量虽然有所增加,但与攻击Windows系统的恶意软件数量相比,其威胁因子的数量级仍然比Windows低。因此,网络安全公司对Linux恶意软件生态系统的关注度也远远不及Windows。所以,部分Linux恶意软件在“兴风作浪”四年之后才被发现也不足为奇。

网络安全公司ESET在12月5日的报告中,详细介绍了21个“新”(软件本身可能并非最近产生,只是此前未被公开指出)Linux恶意软件。这些恶意软件都与被木马感染的OpenSSH客户端运行方式相同。

它们是作为第二阶段工具开发的,可以被部署在更复杂的“僵尸网络”方案中。攻击者会破坏Linux系统,先是服务器,然后用其中一个木马化版本替换合法的OpenSSH版本。

ESET表示,“21个Linux恶意软件中有18个具有凭证窃取功能,使密码/密钥窃取成为可能;17个具有后门模式,允许攻击者采用隐秘且持久的方式连接到受感染的机器。”


攻防最前线:ESET发现21个Linux恶意软件

这些恶意软件应用本身并不新。ESET的研究人员表示恶意软件的发现应“归功于”恶意软件创建者Windigo(又名为Ebury)。研究者在分析Windigo僵尸网络及其Ebury后门时,他们发现Ebury的内部机制可以扫描其他本地安装的OpenSSH后门。Windigo团队使用Perl脚本扫描40个文件签名(散列),而众所周知这些签名是由相互竞争的恶意软件团伙部署的。

ESET的恶意软件分析师Marc-Etienne M. Leveille说:“当我们研究这些签名时,很快意识到,我们没有与脚本中描述的大部分后门匹配的样本。恶意软件运营商实际上比我们拥有更多的知识和对SSH后台的了解。”

ESET在过去几年中一直使用相同的40个文件签名列表来搜索这些恶意软件家族。其中原始形态的40个恶意软件此前从未被发现过,可能是因为被创造者融入在其他恶意软件中,但里面21个被木马感染的OpenSSH后门在随后几年仍然被继续使用。

ESET在报告中详细介绍了这21种恶意软件,其中有些部署非常简单,但也不乏可能由经验丰富的开发人员部署的复杂恶意软件。Linux服务器管理员可以使用报告中包含的妥协指标(IOC)来扫描系统中是否存在这些威胁。报告没有详细介绍僵尸网络运营商如何在受感染的主机上植入这些后门OpenSSH版本。但根据我们从之前关于Linux恶意软件操作的了解,威胁演员通常依靠相同的技术来获得Linux系统的立足点:

试图猜测SSH密码的暴力破解或字典攻击。使用强大或唯一的密码或用于SSH登录的IP过滤系统应该可以防止这些类型的攻击。 利用在Linux服务器上运行的应用程序中的漏洞(例如Web应用程序,CMS等)。如果应用程序/服务错误配置了root访问权限,或者攻击者利用了权限提升漏洞,则可以轻松地将初始WordPress插件漏洞升级到底层操作系统。时刻保持更新,操作系统和运行在其上的应用程序应该可以防止这些类型的攻击。 除非Linux用户不顾一切地错误配置他们的服务器,否则为了方便起见,他们应该能对大多数攻击免疫。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。

本文系统(linux)相关术语:linux系统 鸟哥的linux私房菜 linux命令大全 linux操作系统

代码区博客精选文章
分页:12
转载请注明
本文标题:攻防最前线:ESET发现21个Linux恶意软件
本站链接:https://www.codesec.net/view/621073.html


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 系统(linux) | 评论(0) | 阅读(170)