ShellBot僵尸网络背后的攻击者使用十六进制转换的IP地址渗透易受攻击的Linux SSH服务器并部署恶意软件以发起DDoS攻击。
AhnLab Security ( ASEC ) 今天发布的一份新报告指出:“整体黑客行为保持不变,但攻击者用于安装 ShellBot 的 下载URL已从常规 IP 地址更改为十六进制值。”
ShellBot,也称为PerlBot,通过字典攻击危害SSH数据较弱的服务器的安全。该恶意代码用于发起 DDoS 攻击并交付加密货币矿工。
该僵尸网络的恶意代码是用 Perl 开发的,使用IRC协议与 C2 命令和控制服务器进行通信。
最近观察到的 ShellBot 攻击使用十六进制 IP 地址安装恶意软件。例如,为IP地址“hxxp://0x2763da4e/”创建通信通道,其对应地址“hxxp://39.99.218.78”。
这种连接方法工作正常,不会引起检测,由此我们可以得出结论,黑客故意想出这样的伎俩来绕过基于URL的检测。
ASEC强调:“通过使用curl进行下载及其支持十六进制地址的能力,类似于Web浏览器,ShellBot可以在Linux环境中成功下载并通过Perl执行。”
该恶意软件的发展表明 ShellBot 继续被积极用于 Linux 系统的网络攻击。由于 ShellBot 可用于安装其他恶意软件或从受感染的服务器发起各种类型的攻击,因此建议使用强密码并定期更改。
此前,ASEC 发现了一种恶意操作 ,使用主题名称和颁发者名称字段具有异常长字符串的非标准证书来分发信息窃取恶意软件 – Lumma Stealer 和 RecordBreaker。
回到 ShellBot,此活动提醒我们,攻击者可以使用诸如用十六进制值替换经典 IP 地址等技巧轻松绕过标准检测机制。
原文始发于微信公众号(安全客):使用十六进制 IP 逃避对 Linux SSH 服务器攻击检测,ShellBot僵尸网络再出新招
评论