Ebury 僵尸网络在过去 14 年中感染 40 万台 Linux 服务器

据估计，自 2009 年以来，一个名为Ebury的僵尸网络已危害了 40万台 Linux 服务器，截至 2023 年末仍有超过 10万台服务器受害。

斯洛伐克网络安全公司 ESET 对该恶意软件的调查撰写了一份长达47页的报告（https://web-assets.esetstatic.com/wls/en/papers/white-papers/ebury-is-alive-but-unseen.pdf），该公司将Ebury描述为最先进的服务器端恶意软件活动之一，以获取经济利益为目的。

安全研究员 Marc-Etienne M.Léveillé在深入分析中表示：“Ebury 攻击者一直在从事货币化活动，包括传播垃圾邮件、网络流量重定向和凭据窃取。”

“该恶意软件团伙还利用 AitM 中间人攻击进行加密货币抢劫，并通过网络流量窃听（通常称为服务器端网络窃取）窃取信用卡信息。”

Ebury 首次被记录是在十多年前，作为代号为“Windigo 行动”的活动的一部分（https://web-assets.esetstatic.com/wls/2014/03/operation_windigo.pdf），该活动针对 Linux 服务器部署恶意软件，以及其他后门和脚本（例如 Cdorked 和 Calfbot），分别用于重定向网络流量和发送垃圾邮件。

2017 年 8 月，一位名叫马克西姆·塞纳赫 (Maxim Senakh)的俄罗斯公民因参与僵尸网络恶意软件的开发和维护在美国被判处近四年监禁。

美国司法部当时表示：“塞纳赫和他的同谋利用 Ebury 僵尸网络生成和重定向互联网流量，以促进各种点击欺诈和垃圾邮件计划，这些计划通过欺诈手段产生了数百万美元的收入。”

“作为认罪的一部分，塞纳赫承认，他通过在域名注册商处创建帐户来支持犯罪活动，这些帐户帮助开发了 Ebury 僵尸网络基础设施，并从 Ebury 僵尸网络产生的流量中获利。”

ESET 的调查发现了攻击者用于传递 Ebury 的各种方法，包括窃取 SSH 凭据、撞库、渗透托管提供商基础设施、利用控制 Web 面板中的缺陷（例如CVE-2021-45467）以及 SSH 对手等方法进行中间人（AitM）攻击。

据观察，该犯罪团伙还使用虚假或被盗身份来掩盖自己的踪迹，利用恶意软件破坏其他网络攻击者使用的基础设施，以实现其目标并迷惑安全研究人员的调查分析。

ESET 表示：“一个例子是负责从 Vidar Stealer 收集数据的服务器遭到入侵。” “Ebury 黑客团伙利用通过 Vidar Stealer 获得的被盗身份来租用服务器基础设施并进行活动，将执法机构引向错误的方向。”

在另一个例子中，据说 Ebury 被用来破坏 Mirai 僵尸网络作者的系统，并在代码公开之前窃取代码。

该恶意软件既充当 OpenSSH 守护进程内的后门，又充当凭证窃取程序，使攻击者能够部署额外的有效负载（例如 HelimodSteal、HelimodRedirect 和 HelimodProxy），并扩大其在受感染网络中的存在。迄今为止已知的 Ebury 最新版本是 1.8.2。

更新后的 Ebury 工件引入了新的混淆技术、域生成算法 (DGA) 以及一种通过在注入 SSH 会话 shell 时充当用户态 rootkit 来更好地隐藏其存在的技术。

ESET 表示：“这些工具的共同目标是通过各种方法从它们破坏的服务器中获利。” “服务器货币化的方式包括窃取信用卡信息、窃取加密货币，流量重定向，垃圾邮件发送和凭据窃取。”

HelimodSteal、HelimodRedirect和 HelimodProxy 都是 Apache HTTP 服务器模块，用于拦截向 Web 服务器发出的 HTTP POST 请求、将 HTTP 请求重定向到广告以及代理流量以发送垃圾邮件。使用的另一个新工具是名为 KernelRedirect 的内核模块，它实现了Netfilter 挂钩来修改 HTTP 流量以执行重定向。

还利用了隐藏和允许恶意流量通过防火墙的软件，以及在托管提供商的数据中心内进行大规模 AitM 中间人攻击的 Perl 脚本，以破坏有价值的目标并从这些服务器上托管的钱包中窃取加密货币。

研究人员称，仅2022 年 2 月至 2023 年 5 月期间，有34 个不同国家/地区超过 75 个网络中的多达 200 台服务器以这种方式成为攻击目标。

HelimodSteal 还旨在捕获受害者向在线商店提交的信用卡数据，有效地作为服务器端网络浏览器来提取受感染服务器收到的信息。

在另一起事件链中，可以通过 Ebury 或 FrizzySteal 获取财务详细信息，这是一种注入 libcurl 的恶意共享库，可以将受感染服务器发出的请求泄露到外部 HTTP 服务器（例如支付处理器）。

ESET 指出：“由于两者都在 Web 服务器或应用程序内运行，因此端到端加密 (HTTPS) 无法防范这种威胁。”

“访问用于共享托管的服务器使他们能够访问大量未加密的网络流量，他们利用这些流量进行秘密重定向或捕获在线表单中提交的详细信息。”

参考链接：https://thehackernews.com/2024/05/ebury-botnet-malware-compromises-400000.html

讲述普通人能听懂的安全故事