购买或续订
购买或续订
取消
开启建议
自动建议可通过在您键入时建议可能的匹配,而快速缩小您的搜索结果范围。
显示结果 
搜索替代 
您的意思是: 
cancel
创建新博客
521
查看次数
16
有帮助
0
评论

【原创翻译】忘记配置默认凭证?别担心,解除“GoScanSSH”恶意软件攻击

one-time
Level 13
Level 13
‎03-29-2018 02:27 AM

此博文由Edmund Brumaghin、Andrew Williams和Alain Zidouemba撰写

2018年3月26日 星期一


概要

思科Talos团队最近发现了一个新的恶意软件家族,它会危害那些开启了SSH端口服务的服务器。我们把这个恶意软件命名为“GoScanSSH”,它采用Go语言编码,并且有一些有趣的特性。这已经不是Talos团队观察到的第一个采用Go语言编码的恶意软件家族。但是,用这种语言编码编写的恶意软件并不常见。除了该特殊情况,我们还观察到攻击者为每台感染了“GoScanSSH”恶意软件的主机创建了独特的恶意二进制文件。此外,“GoScanSSH”还利用了Tor2Web代理服务命令和控制(C2)基础设施,如此就更难追踪攻击者控制的基础架构,也难以轻易地击垮他们。


初始感染过程

“GoScanSSH”利用的初始感染源是针对允许密码验证公开访问的SSH服务器进行凭证暴力破解。在这一系列破解中,攻击者会利用包含7,000多个用户名/密码组合的字词列表。一旦攻击者发现了可以成功进行SSH身份验证的有效凭证集,就会创建一个独特的“GoScanSSH”恶意软件二进制文件,并将其上传到受感染的SSH服务器,执行恶意软件,从而感染系统。

 

此恶意软件使用的用户名/密码组合似乎是针对各种脆弱凭证或默认凭证的Linux设备。它使用以下用户名来尝试向SSH服务器进行身份验证:

  • admin
  • guest
  • oracle
  • osmc
  • pi
  • root
  • test
  • ubnt
  • ubuntu
  • user

其中,这些凭证组合专门针对以下设备:

  • 开源嵌入式Linux娱乐中心(OpenELEC)
  • 树莓派
  • 开源媒体中心(OSMC)
  • 使用默认凭证的Ubiquiti 设备
  • “越狱”iPhone
  • 使用默认凭证的PolyCom SIP电话
  • 使用默认凭证的华为设备
  • 使用默认凭证的Asterisk设备
  • 各种键盘模式
  • 大众常用的密码

有关“GoScanSSH”恶意软件的具体操作以及此恶意软件实际功能的更多详细信息,请参阅以下部分。


恶意软件操作

“GoScanSSH”恶意软件是采用Golang(Go)编程语言编码并针对Linux系统的恶意软件家族。在分析过程中,Talos团队发现了70多个与“GoScanSSH”恶意软件家族相关的独特恶意软件样本。我们观察了被编译为支持x86、x86_64、ARM和MIPS64等多种系统架构的“GoScanSSH”样本。在分析感染“GoScanSSH”的MIPS64版本时,Talos团队发现了一个Ubiquiti企业网关路由器用户可以发现其路由器上运行的恶意软件的线程,这表明该恶意软件也在各类设备上传播和执行。 Talos团队还观察到此恶意软件活跃于多个版本中(例如1.2.2、1.2.4、1.3.0等),证明攻击者仍在对其进行积极的开发和改进。

 

系统受到感染后,“GoScanSSH”恶意软件会立即通过在固定的时间间隔内可以执行多少哈希运算,来尝试确定受感染系统的强大程度。恶意软件会将确定结果传送到C2服务器,并在向C2服务器发送“checking_in”消息时,将受影响计算机的基本调查信息发送到C2服务器。此消息在发送到C2服务器之前已经加密,解密此消息则表明它正在使用JSON和其它格式进行传送。

 

恶意软件还会获得一个特有标识符,该标识符也会被发送到C2服务器。 Talos团队在分析样本时观察到大量的标识符,同一标识符只出现两次。

 

在Talos团队分析的“GoScanSSH”样本中,恶意软件经过配置可以连接到以下C2服务器:

 

hXXp://5z5zt3qzyp6j4bda[.]onion[.]link
hXXp://5z5zt3qzyp6j4bda[.]onion[.]to
hXXp://3xjj3i6rv3bdxd6p[.]onion[.]link
hXXp://3xjj3i6rv3bdxd6p[.]onion[.]to
hXXp://b4l7gbnyduslzhq4[.]onion[.]link
hXXp://b4l7gbnyduslzhq4[.]onion[.]to

 

这些域名可以通过Tor2Web代理服务进行访问。代理服务使标准互联网上的系统可以访问托管在Tor上的资源,而无需系统安装Tor客户端。Talos团队观察到恶意软件频繁地使用这些代理服务,如本博文所述。通过利用Tor2Web,攻击者可以将他们的C2基础架构托管在Tor网络中,而不需要在他们的恶意软件中包含额外的Tor功能。

 

受感染主机和C2基础设施之间的通信会经过身份验证,以确保受感染主机不会被劫持。为此,受感染系统和C2服务器之间传输的消息使用的是随机生成的密钥进行AES加密。密钥采用了RSA非对称加密方式进行加密。RSA公钥在恶意软件二进制文件中被硬编码。加密的密钥和被传输的JSON内容被连接在一起并进行base64编码,然后被作为HTTP GET请求的URI部分发送到C2服务器。

 

在启动SSH扫描活动之前,恶意软件会通过与“checking_in”消息关联的JSON数据结构的SHA256散列,等待C2服务器响应上述HTTP GET请求。如果没有收到请求,恶意软件会执行睡眠功能,并会重试此过程。

 

通过使用思科Umbrella来分析DNS请求,以解析上述列表中的一个C2域名,Talos 团队发现了解析此域名的尝试次数显著增加,这可能表明被入侵主机的数量在不断增加。

 

在分析与所有C2域名(从Talos团队分析的所有样本获得)相关的被动DNS数据时发现,最早的解析尝试是在2017年6月19日,这表明攻击活动已经持续至少9个月。此外,解析请求次数最多的C2域名收到了8579次请求。


扫描易受攻击的SSH服务器

 “GoScanSSH”恶意软件的主要功能之一是扫描并识别互联网上其他易受攻击的SSH服务器,这些服务器可能会被攻击者进一步破坏。首先,它会随机生成一个IP地址,并且避免感染特殊用途的地址,然后它会将该IP地址与恶意软件不会尝试扫描的CIDR地址块列表进行比较。该列表主要包括各个政府和军事实体控制的网络范围,而且会特别避免美国国防部的网络范围。此外,列表中的网络范围之一会被分配给韩国的一个组织。如果选定的IP属于这些网络范围,则将该IP丢弃并生成一个新的IP地址。

 

之后,恶意软件会尝试与TCP/22上的选定IP地址建立TCP连接。如果连接成功,恶意软件将执行反向DNS查找以确定该IP地址是否已解析为任何域名。如果反向DNS查找返回一个域名,则将该域名与各个政府和军事实体的相关域名列表进行比较。如果该域名与列表中的任何条目相匹配,则连接被终止,IP被丢弃并生成新的域名。这个过程中包含的CIDR地址块列表和域名列表见附录A和B。

 

一旦确定所选IP地址是进行进一步攻击的理想地址,恶意软件会尝试使用上述包含用户名和密码组合的字词列表向系统进行身份验证,以获取有效的SSH凭证。如果成功,恶意软件会将其反馈给C2服务器。

 

Talos团队认为,攻击者随后会专门为受感染的系统编译新的恶意软件二进制文件,并感染新主机,在新感染的系统上重复该过程。


结论

这些攻击表明了互联网上的服务器持续面临着被网络犯罪分子攻击的风险。各组织应该采用最佳措施来确保他们联网的服务器免受全球攻击者不断发起的各种攻击影响。各组织应确保系统经过强化,在新系统部署到生产环境之前应更改其默认凭证,并确保这些系统处于持续的监控之下,粉碎攻击者破坏系统的企图。Talos团队正在继续监视和跟踪此次攻击,以及威胁整个互联网环境的其他攻击行为,确保在这些威胁持续演变的过程中,对客户提供持续保护。


覆盖范围

以下列出了客户检测并阻止此威胁的其他方式。

高级恶意软件防护(AMP),非常适合阻止攻击者执行恶意软件。

CWS或WSA网络扫描,防止访问恶意网站并检测这些攻击中使用的恶意软件。

Email Security(电子邮件安全),可以阻止攻击者通过促销活动发送恶意邮件。

NGFW、NGIPS和Meraki MX等网络安全设备,以检测与此威胁相关的恶意活动。

AMP Threat Grid,帮助识别恶意二进制文件并为所有思科安全产品创建保护。

Umbrella,我们的安全互联网网关(SIG),无论用户是否连接了公司网络,都可以阻止用户连接到恶意域名、IP和URL。

开源Snort用户规则集,客户可以通过下载Snort.org上可供购买的最新规则集来了解最新信息。


感染指标(IOCS)

与此恶意软件相关的二进制散列列表(SHA256)见本博文。

与此恶意软件相关的域名列表见本博文。


附录A:IP黑名单

以下列表是恶意软件确定随机生成的IP是否可用于破坏系统的名单。

0.0.0.0/8
10.0.0.0/8
100.64.0.0/10
127.0.0.0/8
169.254.0.0/16
172.16.0.0/12
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
192.168.0.0/16
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4
255.255.255.255/32
6.0.0.0/8
7.0.0.0/8
11.0.0.0/8
21.0.0.0/8
22.0.0.0/8
26.0.0.0/8
28.0.0.0/8
29.0.0.0/8
30.0.0.0/8
33.0.0.0/8
55.0.0.0/8
214.0.0.0/8
215.0.0.0/8
211.238.159.0/24


附录B:域名黑名单

以下列表是恶意软件基于反向DNS查找结果确定是否要危害系统的域名名单。如果某域名在该表之列,则将其丢弃。

.mil
.gov
.army
.airforce
.navy
.gov.uk
.mil.uk
.govt.uk
.mod.uk
.gov.au
.govt.nz
.mil.nz
.parliament.nz
.gov.il
.muni.il
.idf.il
.gov.za
.mil.za
.gob.es
.police.uk


原创翻译,若有不妥敬请指正

阅读原文

标签:
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









热点文章
Customers Also Viewed These Support Documents