基于Go语言的SSH暴力破解攻击
该僵尸网络采用Go语言编写,专门针对SSH服务实施暴力破解攻击以扩大规模,并向受感染主机投递其他恶意软件。网络安全公司Darktrace向The Hacker News提供的分析报告指出:"该恶意软件并非直接扫描互联网,而是从命令控制(C2)服务器获取目标列表后尝试暴力破解SSH凭证。成功入侵后,它会接收远程指令并通过系统服务文件建立持久化驻留。"
该僵尸网络通过针对开放SSH端口的IP地址列表实施暴力破解获取初始访问权限,目标IP列表从外部服务器"ssh.ddos-cc[.]org"获取。在进行暴力破解时,恶意程序会执行多项检查以确认目标系统是否适用且非蜜罐环境,还会检测字符串"Pumatronix"(某监控摄像头制造商名称)的存在,表明攻击者可能专门针对或排除此类设备。
多重持久化与加密货币挖矿
入侵成功后,恶意软件首先收集系统基础信息回传至C2服务器,随后建立持久化机制并执行服务器下发的指令。Darktrace研究人员发现:"该恶意软件将自身写入/lib/redis目录,伪装成合法的Redis系统文件。随后在/etc/systemd/system目录创建名为redis.service或mysqI.service(注意mysql的拼写中被替换为大写字母I)的systemd持久化服务。"这种设计使恶意程序看似合法文件且能抵御系统重启。
僵尸网络执行的指令中包含"xmrig"和"networkxm"命令,表明攻击者利用被控设备进行非法加密货币挖矿。值得注意的是,这些命令未指定完整路径,暗示相关负载可能通过下载或解压方式部署在受感染主机的其他位置。
模块化攻击组件分析
Darktrace在溯源分析中发现该行动还部署了以下关联组件:
-
ddaemon:基于Go的后门程序,负责下载networkxm二进制文件至"/usr/src/bao/networkxm"并执行installx.sh脚本
-
networkxm:SSH暴力破解工具,其功能与僵尸网络初始阶段类似,从C2服务器获取密码列表尝试连接目标IP
-
installx.sh:从"1.lusyn[.]xyz"下载jc.sh脚本,赋予全权限执行后清除bash历史记录
-
jc.sh:用于下载恶意pam_unix.so文件替换系统正版文件,同时从同一服务器获取并执行名为"1"的二进制程序
-
pam_unix.so:充当rootkit窃取凭证,会截获成功登录信息写入"/usr/bin/con.txt"
-
1:监控"/usr/bin/"目录下con.txt文件的写入操作,将其内容外传到C2服务器
防御建议
鉴于该僵尸网络具备SSH暴力破解的蠕虫式传播能力,建议用户采取以下防护措施:
-
监控异常SSH登录活动(特别是失败尝试)
-
定期审计systemd服务
-
检查authorized_keys文件是否存在未知SSH密钥
-
配置严格防火墙规则减少暴露面
-
过滤含有非常规HTTP头部(如X-API-KEY: jieruidashabi)的请求
|
江苏国骏可为客户提供的服务: (1)主动防护类 漏洞评估与加固: 扫描客户Linux/IoT设备的SSH弱密码、未修复漏洞(如CVE-2024-*相关漏洞)。 提供最小化端口暴露方案,关闭非必要服务(如默认SSH端口22)。 威胁检测(TDR):部署基于行为的检测工具(如HIDS/NIDS),识别PumaBot的通信特征(如异常挖矿流量、SSH爆破行为)。 (2)应急响应类 入侵取证: 分析受感染设备的日志,定位攻击入口(如暴力破解记录、恶意进程)。 提供恶意样本分析报告(IOC指标共享)。 清除与恢复:协助清除挖矿木马,重置SSH密钥,修复被篡改配置。 (3)长期安全建设 安全意识培训:针对运维人员开展SSH安全实践培训(如密钥认证替代密码)。 安全运维托管(MSSP):提供7×24小时监控,快速响应类似僵尸网络攻击。 |
推荐阅读
1
2
原文始发于微信公众号(信息安全大事件):新型PumaBot僵尸网络瞄准Linux物联网设备窃取SSH凭证并挖矿
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论