Outlaw 团伙利用 SSH 暴力破解攻击在 Linux 服务器上部署挖矿恶意软件
HackerNews 编译,转载请注明出处: 网络安全研究人员披露了一个名为Outlaw(又称Dota)的“自动传播”加密货币挖矿僵尸网络。该团伙以攻击存在弱凭据的SSH服务器而闻名。 据Elastic安全实验室周二发布的最新分析报告称,“Outlaw是一种依赖SSH暴力破解攻击、加密货币挖矿和类似蠕虫传播方式的Linux恶意软件,用于感染并控制系统。”该名称也用于指代开发该恶意软件的威胁行为者,他们被认为来自罗马尼亚。 自2018年底以来,该黑客团伙一直活跃,通过暴力破解SSH服务器,利用获得的权限进行侦察,并通过将自身的SSH密钥添加到“authorized_keys”文件中,以在被入侵主机上保持持久性。 攻击者还采用多阶段感染过程,使用一个下载器Shell脚本(“tddwrt7s.sh”)下载一个归档文件(“dota3.tar.gz”),然后解包以启动挖矿程序,同时清除过往入侵痕迹,并终止其他竞争挖矿程序和自身旧版本挖矿程序。 该恶意软件的一个显著特点是初始访问组件(又称BLITZ),它通过扫描运行SSH服务的易受攻击系统,以类似僵尸网络的方式实现恶意软件的自我传播。暴力破解模块会从SSH命令与控制(C2)服务器获取目标列表,以进一步延续传播周期。 在某些攻击中,该团伙还利用存在CVE-2016-8655和CVE-2016-5195(又称Dirty COW)漏洞的Linux和Unix操作系统,以及攻击存在弱Telnet凭据的系统。在获得初始访问权限后,恶意软件会部署SHELLBOT,通过C2服务器使用IRC频道进行远程控制。 SHELLBOT能够执行任意Shell命令、下载和运行额外的有效载荷、发起DDoS攻击、窃取凭据以及窃取敏感信息。 在挖矿过程中,该恶意软件会检测被感染系统的CPU,并为所有CPU核心启用大页面功能,以提高内存访问效率。它还使用一个名为kswap01的二进制文件,以确保与攻击者基础设施的持续通信。 “尽管Outlaw使用了SSH暴力破解、SSH密钥操作和基于计划任务的持久性等基本技术,但它仍然活跃。”Elastic表示,“该恶意软件部署了修改版的XMRig挖矿程序,利用IRC进行C2通信,并使用公开可用的脚本实现持久性和防御规避。” 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
超过 60% 的企业公开暴露 SSH 协议
研究发现,64%的受访者至少拥有一台暴露SSH的设备,这可能允许攻击者探测它以进行远程访问。 据ExtraHop最新发布的报告,全球大多数组织都在向公共互联网公开暴露敏感和不安全的协议,这可能会使攻击面扩大。 报告分析了一系列企业IT环境,基于开放端口和敏感协议暴露情况对网络安全状况进行基准测试。 研究发现,64%的受访者至少拥有一台暴露SSH的设备,这可能允许攻击者探测它以进行远程访问。 该研究还显示,超过三分之一(36%)的组织通过不安全的文件传输协议(FTP)暴露了至少一个设备,该协议以纯文本形式发送文件,这意味着它们很容易被拦截。 超过五分之二(41%)的受访企业至少拥有一台暴露LDAP的设备,该设备可被用于在Active Directory中查找用户名。这些协议以纯文本形式传输查询,可能会使凭据面临风险。 令人惊讶的是,报告还发现,尽管远程连接协议(Telnet)自2002年以来已被弃用,但仍有12%的组织至少有一台设备将Telnet暴露在公共互联网上。 SMB协议是WannaCry和其他攻击的热门目标,是企业的另一个常见安全风险。超过一半(51%)的医疗组织和45%的SLED组织拥有多个暴露SMB协议的设备。 ExtraHop首席信息安全官Jeff Costlow将这些端口和协议称为“门和走廊”,攻击者使用这些端口和协议来探索网络和发动攻击。 “知道哪些协议在你的网络上运行以及哪些漏洞与它们相关极为重要,”他补充道:“这使防御者能够基于其风险承受能力做出明智的决定并采取行动——例如在环境中保持软件和硬件的持续资产报告,快速、持续地修补软件,以及投资用于实时洞察和分析的工具。” 转自 安全内参,原文链接:https://www.secrss.com/articles/45646 封面来源于网络,如有侵权请联系删除
黑客组织对 Linux 系统发起 SSH 暴力攻击以部署 Chaos 后门
外媒 2 月 23 日消息,研究人员发现黑客组织正在对使用弱密码保护的 Linux 系统发起 SSH 暴力攻击,以部署一个名为 Chaos 的后门。据悉,该后门可能会被野外攻击者用于全球范围内 Linux 服务器。 根据 GoSecure 专家的说法,Chaos 后门其实是 “ sebd ” Linux rootkit 的组件之一,该组件早在2013 年就已被使用。 由于 Chaos 后门不依赖于任何漏洞攻击,所以 GoSecure 的研究人员认为它并不复杂。而且该后门也并不先进,因为只是管理员无法为其服务器设置强密码而已。但 Chaos 后门存在一个巧妙的优势,它在端口 8338 上打开了一个原始套接字,并在其上侦听命令。 GoSecure 的专家表示: “ 比较好的防火墙都会阻止传入的数据包进入任何未被明确开放的端口。但是,使用原始套接字的 Chaos 却可以在运行现有合法服务的端口上被触发。” 那么要如何检查用户系统是否受到感染呢?相关专家建议以 root 身份运行 netstat –lwp 来检测。此外,由于 Chaos 不是单独出现,而是至少有一个具有远程代码执行能力的 IRC Bot,因此 GoSecure 建议受感染的主机从一个可靠的备份中重新安装,并提供一组新的凭据。 详细分析报告: 《 Chaos:被盗后门再次崛起 》 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
维基解密最新曝光:CIA 曾植入多款恶意工具窃取 Windows 与 Linux 操作系统 SSH 凭证
据外媒 7 月 6 日报道,维基解密( Wikileaks )最新曝光一批 Vault7 文档,揭露了美国中央情报局( CIA )恶意植入工具 BothanSpy 与 Gyrfalcon 如何通过多种攻击向量窃取 Windows 和 Linux 操作系统 SSH 凭据。 两款恶意植入均可窃取所有活跃 SSH 会话登录凭据并发送回 CIA 网络间谍系统,但区别在于: 第一款恶意植入工具 BothanSpy 主要针对 Microsoft Windows Xshell 客户端。而作为目标机器上的 Shellterm 3.x 扩展安装,只有当 Xshell 以有效活跃会话运行在目标机器的情况下才会起到作用。此外,为了将 BothanSpy 用于运行 x64 版本的 Windows 目标系统,加载程序必须支持 Wow64 注入。与此同时,Xshell 只能作为 x86 二进制文件,因此 BothanSpy 仅被编译为 x86 版本。 Xshell 是支持 SSH、SFTP、TELNET、RLOGIN 与 SERIAL 的终端仿真器,用于提供业界领先功能,包括标签环境、动态端口转发、自定义键映射、用户定义按钮、VB 脚本以及用于显示 2 个字符与国际语言支持的 UNICODE 终端。 第二款恶意植入工具 Gyrfalcon 针对包括 CentOS、Debian、RHEL(Red Hat)、openSUSE 与 Ubuntu 在内各种 Linux 版本的 OpenSSH 客户端。一旦成功植入 Linux 系统( 32 或 64 位内核 ),CIA 黑客即可使用自定义恶意软件 JQC / KitV rootkit 进行持久访问。Gyrfalcon 收集完整或部分 OpenSSH 会话流量,并将被盗信息存储至本地加密文件用于后续渗透。 Gyrfalcon 还是一款 SSH 会话 “共享” 工具,可在运行目标主机的出站 OpenSSH 会话中进行操控,以记录 SSH 会话(包括登录凭据)并代表远程主机合法用户执行命令。获悉,该工具以自动化方式运行,需提前配置。一段时间后,黑客会返回并要求 Gyrfalcon 将所收集的全部信息复制到磁盘中,以便日后对数据进行检索、解密与分析。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
新木马“Linux.Proxy.10”已将数千台 Linux 沦为代理服务器
据安全公司 Dr. Web 报道,数千个 Linux 设备感染了新木马 Linux.Proxy.10 。正如木马的名字所暗示的,该木马可以在受感染的设备上运行基于 Satanic Socks Server 源代码的 SOCKS5 代理服务器。攻击者将受感染的设备作为跳转代理进行恶意行为,从而隐藏其真实信息。 Linux.Proxy.10 最初是由杀毒公司 Doctor Web 的研究人员在 2016 年底发现的,据研究报道显示,该木马已经攻击了数千台 Linux 设备、恶意代码仍在继续传播。木马不包含任何攻击 Linux 系统的模块,而是使用其他木马和技术入侵设备,并创建一个名为“ mother ”密码为“ f**ker ”的后门账户。一旦后门安装成功,攻击者将通过 SSH 协议登录设备,并安装 SOCKS5 代理服务器。此外,研究人员调查了一台用于传播 Linux.Proxy.10 木马的服务器,发现其中除了包含目标设备的攻击列表,还有一个匿名代理管理员面板和一个已知的 Windows 间谍软件 BackDoor.TeamViewer 。 建议: Linux 用户和管理员限制或禁用 root 用户通过 SSH 远程登录设备,并监控新生成的登录用户、观察其是否存在恶意行为。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。