来自Windigo运营的后门攻击仍然活跃

  • 时间:
  • 浏览:23
  • 来源:it300
来自Windigo运营的后门攻击仍然活跃

Windigo是一项三年前发现的恶意行动,尽管在2014年遭到罢免并且在2017年8月判处一名同谋,但仍然保持活跃。

Windigo的核心是Linux / Ebury,一个OpenSSH后门和凭证窃取者,在僵尸网络被发现之前的两年半时间内估计已经感染了全球超过25,000台服务器。这些系统被滥用来窃取凭据,将网络流量重定向到恶意网站,每天发送超过3000万封垃圾邮件。

ESET研究人员与CERT-Bund合作发现了该操作,瑞典国家计算机基础设施公司和其他机构将其纳入其中。 2015年,芬兰当局逮捕了马克西姆·塞纳赫(Maxim Senakh)操作背后的阴谋者。他去年被引渡到美国,并于今年8月在联邦监狱被判处46个月。

虽然安全研究人员注意到在Senakh被捕后与Wind流量重定向相关的Windigo活动显着下降, ESET警告称,恶意操作并未完全搁置,Ebury后门已经发展。

今年2月发现的新版恶意软件表明其作者专注于逃避和改进僵尸网络抵御收购企图的能力。研究人员发现,恶意软件现在包含了一种新的机制来隐藏文件系统上的恶意文件。

恶意软件继续使用域生成算法(DGA)ESET显示,如果操作员未通过OpenSSH后门连接到被感染系统三天,数据泄露,但DGA本身也发生了变化。

Ebury现在包括研究人员提到的自我隐藏技术作为“userland rootkit”。为此,恶意软件将readdir或readdir64函数挂钩以列出目录条目。如果Ebury共享库文件是要返回的下一个目录结构,则钩子跳过它并返回后续条目。

为了激活钩子,Ebury将其动态库注入到sshd的每个后代进程中。因此,在执行新进程时会加载Ebury的动态库,并且会调用恶意软件的构造函数,执行挂钩例程。

除了Linux发行版之外特定的,早期版本的后门过去只用于非常特定的OpenSSH版本,但较新的版本用函数挂钩取代了OpenSSH补丁程序。因此,研究人员能够在多个Linux发行版上执行恶意软件。

威胁还具有强化的后门机制,不再依赖于SSH客户端版本字符串中编码的密码。现在,后门的激活需要一个私钥进行身份验证,应该添加额外的检查,以防止未经授权使用受Ebury攻击的服务器。

新版本的Ebury采用了新的安装方法,安全研究人员发现。与以前的版本一样,恶意软件会在libkeyutils.so库中添加有效负载,但与此不同之前,还有基于目标系统上运行的Linux发行版的不同部署脚本和技术。

“Ebury现在使用自我隐藏技术和新方法注入OpenSSH相关流程。此外,它使用新的域生成算法(DGA)来查找要获取的域TXT记录。 exfiltration服务器IP地址隐藏在这些数据中,并使用攻击者的私钥进行签名。已签名数据添加了到期日期以防止签名重用,从而减少潜在的下沉尝试。 Windigo的运营商定期监控公共共享的IoC,并迅速适应傻瓜可用的指标,“ESET总结。

相关:研究人员发现攻击活动,利用25,000个Unix服务器

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01