根据AhnLab安全紧急响应中心(ASEC)的一份报告,管理不善的Linux SSH服务器正在成为新活动的目标,其中部署了不同变体的ShellBot恶意软件。
管理不善的服务指的是弱帐户凭据,这使服务器容易受到字典攻击。MS-SQL和RDP(远程桌面协议)等服务通常成为攻击目标。
在Linux服务器中,SSH(安全外壳)服务是主要目标。在物联网环境中,字典攻击的目标是安装在嵌入式Linux操作系统或旧Linux服务器上的Telnet服务。
ShellBot,也称为PerIBot,是一种使用Perl开发的旧DDoS bot恶意软件。该恶意软件通常使用Internet中继聊天/IRC协议与其C2服务器建立通信。
目前,该恶意软件正被用于对不安全的Linux系统发起攻击,目标是凭据薄弱的服务器。它是在攻击者使用扫描器恶意软件确定系统是否打开了SSH端口22后部署在系统上的。
ASEC研究人员指出,ShellBot被用于针对Linux服务器的攻击,这些服务器通过shell脚本编译器分发加密货币矿工。
“如果安装了ShellBot,Linux服务器可以用作DDoS机器人,在收到威胁参与者的命令后针对特定目标进行DDoS攻击,”ASEC的报告中写道。
攻击首先使用SSH凭据列表发起字典攻击并破坏服务器。一旦完成,威胁参与者就会部署有效负载并利用IRC协议与C2服务器通信并接收指示ShellBot进行DDoS攻击和窃取数据的命令。
据ASEC研究人员称,已识别出三种ShellBot变体,包括LiGhT的Modded perlbot v2、DDoS PBot v2.0和PowerBots (C) GohacK。前两个版本以HTTP、UDP和TCP协议的广泛DDoS攻击命令为特色。
相反,PowerBot配备了类似后门的功能,可以提供shell访问并从受感染主机上传任意文件。威胁行为者可以使用这些后门功能来安装其他恶意软件并发起不同类型的攻击,从而滥用服务器。
评论已关闭。