AhnLab安全应急响应中心(ASEC)发现了ShellBot恶意软件的一种新变种,该变种被用于针对Linux SSH服务器。
ShellBot,也称为PerlBot,是一个基于Perl的DDoS机器人,使用IRC协议进行C2通信。
ShellBot 对打开端口 22 的服务器执行 SSH 暴力攻击,它使用包含已知 SSH 凭据列表的字典。
ShellBot恶意软件是攻击者在目标系统上使用扫描仪和SSH暴力破解恶意软件获得的帐户凭据之后安装的。在扫描具有可操作端口 22 的系统后,攻击者会搜索 SSH 服务处于活动状态的系统,并使用常用的 SSH 帐户凭据列表来发起字典攻击。
以下是 ShellBot 操作员用于危害目标服务器的帐户凭据列表:
| USER | PASSWORD |
|---|---|
| deploy | password |
| hadoop | hadoop |
| oracle | oracle |
| root | 11111 |
| root | Passw0rd |
| ttx | ttx2011 |
| ubnt | ubnt |
研究人员将ShellBot分为三个不同的组,因为攻击者可以创建自己的版本:LiGhT的Modded perlbot v2,DDoS PBot v2.0和PowerBots(C)GohacK。
LiGhT 的 Modded perlbot v2 和 DDoS PBot v2.0 支持使用 HTTP、TCP 和 UDP 协议的多个 DDoS 攻击命令。PowerBots (C) GohacK支持后门功能,包括反向shell和文件下载功能。
此外,威胁行为者可以使用各种其他后门功能来安装其他恶意软件或从受感染的服务器发起不同类型的攻击。
研究人员建议为管理员帐户使用强密码,并定期更改它们,以保护Linux服务器免受暴力攻击和字典攻击。他们还建议使服务器保持最新状态并使用安全程序。
转自 Freebuf,原文链接:https://www.freebuf.com/news/361255.html
封面来源于网络,如有侵权请联系删除