51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

恶意软件GoScanSSH如何通过扫描SSH服务器暴力破解凭证进行传播

作者:鲁班七号
运维 服务器运维
在最近一次应急响应(IR)参与中,Talos发现了一个新的恶意软件家族,它被用来攻击暴露在网络上的SSH服务器。我们将该恶意软件命名为GoScanSSH,该恶意软件是使用Go编程语言编写的,并显示了几个有趣的特性。

执行概要

在最近一次应急响应(IR)参与中,Talos发现了一个新的恶意软件家族,它被用来攻击暴露在网络上的SSH服务器。我们将该恶意软件命名为GoScanSSH,该恶意软件是使用Go编程语言编写的,并显示了几个有趣的特性。虽然这并不是Talos所观察到的第一个使用Go语言编写的恶意软件家族,但是使用这种编程语言编写的恶意软件还是是比较少见的。在这个特殊的例子中,我们还观察到攻击者为每一个感染了GoScanSSH恶意软件的主机创建了独有的恶意软件二进制文件。此外,还发现GoScanSSH命令和控制(C2)基础设施,利用Tor2Web代理服务,试图让跟踪攻击者控制基础设施这一操作更加困难,并使其具有很强的灵活性。

[[225319]]

初始感染过程

GoScanSSH所使用的初始感染向量很可能是对一个可公开访问的SSH服务器的SSH凭据强力攻击,该服务器允许基于密码的SSH认证。在这一系列的攻击中,攻击者利用一个包含超过7000个用户名/密码组合的wordlist。一旦攻击者发现了一个允许成功进行SSH身份验证的有效的凭证集,那么他们就会创建一个独特的GoScanSSH恶意软件二进制文件,并将其上传到被攻击的SSH服务器上。然后,恶意软件就会被执行,从而感染系统。

该恶意软件使用的用户名/密码组合似乎针对性较弱或者直接对一系列基于linux的设备是默认凭证。恶意软件使用下列用户名试图对SSH服务器进行身份验证:

  • admin
  • guest
  • oracle
  • osmc
  • pi
  • root
  • test
  • ubnt
  • ubuntu
  • user

其中这些凭证的组合特别针对以下内容:

  • 开放嵌入式Linux娱乐中心(OpenELEC)
  • Raspberry Pi
  • 开源媒体中心(OSMC)
  • Ubiquiti设备默认凭证
  • 越狱iphone
  • PolyCom SIP电话默认凭证
  • 华为设备默认凭证
  • Asterisk默认凭证
  • 各种键盘模式
  • 众所周知的常用密码

本文的以下部分包含关于GoScanSSH恶意软件具体操作的其他详细信息以及该恶意软件其他可用功能的详细信息。

恶意软件操作

GoScanSSH是一个针对Linux系统并使用Golang(Go)编程语言编写的恶意软件。在分析过程中,Talos发现了超过70个与GoScanSSH恶意软件家族相关的独特的恶意软件样本。我们观察了GoScanSSH样本的示例,它们被编译来支持多种系统架构,包括x86、x8664、ARM和MIPS64。在分析GoScanSSH的MIPS64版本时,Talos发现了一个线程,在该线程中Ubiquiti企业网关路由器(Ubiquiti Enterprise Gateway Router )用户在他们的路由器上发现了该恶意软件,这表明该恶意软件也在各种设备类型上传播和执行。Talos还观察到了该恶意软件在野外活动的多个版本(版本1.2.2、1.2.4、1.3.0等等),这表明这种威胁正在继续被攻击者积极地开发和改进。

在感染之后,GoScanSSH恶意软件试图确定受感染的系统有多强大。这一操作是通过确定在固定时间间隔内可以执行多少哈希计算来完成的。当恶意软件向C2服务器发送一个“checking_in”消息时,确定的结果与关于受害者机器的基本调查信息一起将被传送到C2服务器。这条消息在发送到C2服务器之前将被加密。对这条消息进行解密表明它正在使用JSON进行传输,并使用以下格式:

恶意软件还会获得一个唯一的标识符,如上面的请求所示,该标识符也会被发送到C2服务器。Talos在分析的样本中观察到大量的标识符,但相同的标识符只出现两次。观察到的不同标识符的例子如下:

在Talos分析的GoScanSSH样本中,恶意软件被配置为接触以下C2服务器域名:

  1. hXXp://5z5zt3qzyp6j4bda[.]onion[.]link 
  2. hXXp://5z5zt3qzyp6j4bda[.]onion[.]to 
  3. hXXp://3xjj3i6rv3bdxd6p[.]onion[.]link 
  4. hXXp://3xjj3i6rv3bdxd6p[.]onion[.]to 
  5. hXXp://b4l7gbnyduslzhq4[.]onion[.]link 
  6. hXXp://b4l7gbnyduslzhq4[.]onion[.]to 

这些域名是通过Tor2Web代理服务访问的。该服务允许标准互联网上的系统访问托管在Tor上的资源,而不需要系统安装Tor客户端。Talos观察到恶意软件越来越多地使用这些代理服务,正如一篇博客中描述的那样。通过利用Tor2Web,攻击者可以在Tor网络中托管他们的C2基础设施,而不需要在他们的恶意软件中包含额外的Tor功能。

受攻击的主机和C2基础设施之间的通信是经过身份验证的,以确保受攻击的主机不能被劫持。为了实现这一点,对在受感染系统和C2服务器之间传输的消息,使用随机生成的密钥进行AES加密。还使用RSA非对称加密对密钥进行加密。RSA公钥是在恶意软件二进制文件中硬编码的。加密的密钥和被传输的JSON的内容被连接起来,并被base64编码。然后,作为HTTP GET请求的URI部分,发送给C2服务器。

在启动SSH扫描活动之前,该恶意软件将等待C2服务器响应前面提到的HTTP GET请求,该请求使用与“checking_in”消息相关联的JSON数据结构的SHA256散列。如果还没有收到响应,恶意软件就会执行一个睡眠功能,并将重新尝试这个过程。

通过使用Cisco Umbrella的调查来分析DNS请求,该请求试图解析上面列出的一个C2域名,Talos发现解析域名的尝试明显增加,这可能表明受攻击的主机数量在继续增加。

在对与所有Talos分析样本中收集到的所有C2域名有关的被动DNS数据分析中,可以看到,从2017年6月19日开始的解析尝试,表明这次攻击活动已经持续了至少9个月。此外,已经观察到具有最大数量解析请求的C2域名8579次解析请求。

下图显示了我们所识别的所有恶意域名的DNS活动总数如下:

Talos识别出的与该进行中的恶意活动有关的250个域名的完整列表,在本文的攻击指标(IOC)部分。

扫描易受攻击的SSH服务器

GoScanSSH恶意软件所执行的主要功能之一是扫描并识别暴露在互联网上的其他易受攻击的SSH服务器,攻击者可能会进一步攻击它们。这一操作通过首先随机生成一个IP地址来执行的,并且避免特殊用途的IP地址。然后,将IP地址与恶意软件不扫描的CIDR块列表进行比较。该列表的内容主要是由不同的政府和军事实体控制的网络范围,特别要避开此处列出的美国国防部指定的范围。此外,列表中的一个网络范围被分配给韩国的一个组织。如果所选的IP属于这些网络范围就会被丢弃,并生成一个新的IP地址。

恶意软件试图在TCP/22上与选定的IP地址建立一个TCP连接。如果连接成功建立,恶意软件就会执行反向DNS查找,以确定IP地址是否解析为任何域名。如果反向DNS查询返回一个域名,则将其与各种政府和军事实体相关的域名列表进行比较。如果域名匹配列表上的任何条目,连接终止,IP将被丢弃,并生成一个新的IP。在这个过程中包含的CIDR块和域名的列表可以在附录A和B中找到。

一旦确定所选的IP地址是额外攻击的理想目标,恶意软件就会试图通过使用前面提到的包含用户名和密码组合的wordlist对系统进行身份验证,从而获得有效的SSH凭证。如果成功,恶意软件将报告返回到C2服务器。返回到C2服务器的通信将使用以下格式在JSON中传输关于攻击状态的横幅和其他信息:

Talos认为攻击者随后会为受攻击的系统编译一个新的恶意软件二进制文件,并感染新的主机,导致该进程在新感染的系统上重复。

总结

上述这些攻击表明了,暴露在互联网上的服务器,存在被网络犯罪分子不断攻击的风险。企业应该采用最佳措施,来确保所暴露的服务器可以免受来自世界各地的攻击者的不断攻击。企业还应该确保系统已被加强,在将新系统部署到生产环境之前,默认凭证是可以被更改的,并且这些系统会被持续监视,以试图对它们进行攻击。Talos将继续监测和跟踪这一攻击,以及其他威胁,以确保客户在这些威胁不断演变的情况下继续受到保护。

覆盖

我们的客户可以发现并阻止这种威胁的其他方法如下。

  • 先进的恶意软件保护(AMP)非常适合用于阻止威胁行为者使用的恶意软件的执行。
  • CWS或WSA网页扫描阻止对恶意网站的访问,并检测在这些攻击中使用的恶意软件。
  • 电子邮件安全(Email Security )可以阻止威胁参与者发送的恶意电子邮件,作为他们活动的一部分。
  • 网络安全设备(Network Security ),如NGFW、NGIPS和Meraki MX可以检测与这种威胁相关的恶意活动。
  • AMP Threat Grid有助于识别恶意的二进制文件,并为所有Cisco安全产品建立保护。
  • Umbrella,我们的安全因特网网关(SIG),阻止用户连接到恶意域名、IP和URL,不管用户是否在公司网络上。
  • Open Source Snort Subscriber Rule Set,客户可以通过在Snort.org上下载最新的规则包来保持更新最新的规则包。

攻击指标(IOC)

在这里可以找到与该恶意软件相关联的二进制哈希(SHA256)的列表。

可以在这里找到与该恶意软件相关的域名列表。

附录A:IP黑名单

下面的列表用于确定恶意软件所使用的随机生成的IP是否不用于试图破坏系统。

  1. 0.0.0.0/8 
  2. 10.0.0.0/8 
  3. 100.64.0.0/10 
  4. 127.0.0.0/8 
  5. 169.254.0.0/16 
  6. 172.16.0.0/12 
  7. 192.0.0.0/24 
  8. 192.0.2.0/24 
  9. 192.88.99.0/24 
  10. 192.168.0.0/16 
  11. 198.18.0.0/15 
  12. 198.51.100.0/24 
  13. 203.0.113.0/24 
  14. 224.0.0.0/4 
  15. 240.0.0.0/4 
  16. 255.255.255.255/32 
  17. 6.0.0.0/8 
  18. 7.0.0.0/8 
  19. 11.0.0.0/8 
  20. 21.0.0.0/8 
  21. 22.0.0.0/8 
  22. 26.0.0.0/8 
  23. 28.0.0.0/8 
  24. 29.0.0.0/8 
  25. 30.0.0.0/8 
  26. 33.0.0.0/8 
  27. 55.0.0.0/8 
  28. 214.0.0.0/8 
  29. 215.0.0.0/8 
  30. 211.238.159.0/24 

附录B:域名黑名单

下面的列表用于根据反向DNS查找的结果确定是否继续尝试攻击系统。如果域名在下列列表中,它将被丢弃。

  1. mil 
  2. gov 
  3. army 
  4. airforce 
  5. navy 
  6. gov.uk 
  7. mil.uk 
  8. govt.uk 
  9. mod.uk 
  10. gov.au 
  11. govt.nz 
  12. mil.nz 
  13. parliament.nz 
  14. gov.il 
  15. muni.il 
  16. idf.il 
  17. gov.za 
  18. mil.za 
  19. gob.es 
  20. police.u 
责任编辑:武晓燕 来源: 4hou
GoScanSSH服务器暴力
相关推荐
新型Linux僵尸网络RapperBot暴力破解SSH服务器
近日,FortiGuard实验室的研究人员发现了一种新型物联网(IoT)僵尸网络“RapperBot”,自2022年6月中旬以来就一直处于活动状态。

2022-08-10 08:43:46

僵尸网络DDoS功能SSH服务器
如何使用fail2ban防御SSH服务器暴力破解攻击
在该教程中,我演示了如何安装并配置fail2ban来保护一个SSH服务器。当然fail2ban可以缓解暴力密码攻击,但是请注意,这并不能保护SSH服务器避免来自复杂的分布式暴力破解组织,这些攻击者通过使用成千上万个机器控制的IP地址来绕过fail2ban的防御机制。

2015-03-17 09:50:00

通过Orabrute暴力破解oracle密码
本文详细介绍了如何通过Orabrute暴力破解oracle密码。

2009-05-20 11:30:21

Linux 怎么防止 ssh暴力破解
具有开放SSH访问权限的服务器的root帐户可能存在风险。尤其是如果你使用的是公共IP地址,则破解root密码要容易得多。因此,有必要了解SSH安全性。

2022-08-06 13:04:27

LinuxSHH
暴力破解FTP服务器技术探讨与防范措施
随着Internet的发展出现了由于大量傻瓜化黑客工具,任何一种黑客攻击手段的门槛都降低了很多,但是暴力破解法的工具制作都已经非常容易,大家通常会认为暴力破解攻击只是针对某一种FTP服务器发起的攻击,能具有代表性吗?

2011-07-04 09:09:19

利用 firewalld ipset 禁止 Linux 服务器暴力破解登录
为了禁止Linux服务器被暴力破解登录,我想到了使用firewalld来禁止这些ip地址通过ssh连接,从而阻断服务器被远程暴力破解,以下是详细步骤。

2023-12-21 23:14:07

提升网站安全性之修改服务器SSH密码防破解
提升网站安全性之修改服务器SSH密码防破解篇,网站服务器帐号密码被暴力破解已经不是一个新鲜的话题了,那么我们服务器遭到暴力破解怎么处理今天小小残就教大家如何防止自己的网站服务器遭到暴力破解。

2017-03-01 11:52:30

用脚本简化部署DenyHosts防SSH暴力破解
我的Nagios外网监控服务器,刚开始测试时取的密码是redhat,放进公网一天就被人改了,郁闷死了;另外的几台公网机器(没有硬件防火墙),被人不停的ssh连接,我稍为判断了一下,其中有个IP居然连接失败17000次了……

2011-04-02 09:34:38

暴力破解攻击占所有攻击的51%!如何保护API免遭暴力破解攻击?
如果失败次数超过设置的限制,帐户将被自动锁定。只有管理员才能在用户验证后解锁该帐户。请记住,攻击者可能会通过暴力破解来锁定组织的合法用户,以此对组织造成信任和声誉损失。这就是为什么组织需要禁止从同一IP地址对不同的帐户进行多次登录尝试。

2023-09-11 07:17:30

用SHELL脚本来防止SSH和vsftpd暴力破解
作者有一台公网服务器,采用的是双备份策略,所以开发了vsftpd的21端口,近来作者发现有许多人在尝试暴力破解vsftpd和ssh,因此,作者根据varlogsecure日志显示情况,自己动手写了个SHELL脚本来防止SSH和vsftpd暴力破解。

2011-09-08 14:25:31

用SHELL脚本来防SSH和vsftpd暴力破解
新近刚上的FTP备份脚本,例行检查varlogsecure日志时,发现不少sshd和vsftpd失败认证信息,很明显有人想用暴力破解工具窃取密码,所以需要编写一个安全脚本防止。

2012-11-29 14:44:07

暴力破解及其流行工具研究
暴力破解攻击是最流行的密码破解方法之一,然而,它不仅仅是密码破解。暴力攻击还可用于发现Web应用程序中的隐藏页面和内容,在你成功之前,这种攻击基本上是“攻击一次尝试一次”。

2019-02-25 18:03:15

路由密码忘记 五步暴力破解
对于一名家庭用户,如果不小心忘记了家里无线路由器的登录密码,现在唯一知道的就是该设备使用的是5位以内的数字作为密码,那么专家如何来解决这种密码为纯数字的暴力破解问题呢

2010-08-18 10:17:12

路由密码忘记 五步暴力破解
很多时候我们家庭用户网络被入侵或者日常使用过程中都会遇到密码猜解的问题,家庭宽带路由器的密码遗忘而又无法通过其他办法恢复的话,暴力破解方法是唯一的选择。

2009-08-10 15:47:20

ChromeLoader 正在通过破解游戏进行传播
最近,使用磁盘镜像文件的恶意软件有所增加,攻击者也常常将恶意软件伪装成破解游戏和破解程序。用户在执行从未知来源下载的文件时,必须格外小心。

2023-03-03 18:43:18

密码破译主流工具和口令库
Hydra是一个流行的登录暴力破解工具,搭配字典可以对SSH、FTP或Web服务器等许多服务执行登录暴力破解,并且可以轻松添加新模块。

2024-01-29 00:10:00

窃密恶意软件通过仿冒盗版软件下载网站进行传播
自从Napster在互联网上发布盗版已经有二十余年,海盗湾种子下载站出现也近十年。

2022-08-31 08:24:19

恶意软件网络攻击
DarkGate 恶意软件正在通过微软群聊进行大肆传播
据AT&TCybersecurity的研究显示,有一种新的网络钓鱼攻击通过MicrosoftTeams群组聊天请求推送恶意附件,从而在受害者系统中安装DarkGate恶意软件。

2024-02-02 10:25:00

黑客开始利用云计算服务暴力破解密码
使用云计算服务来替代在公司里设立维护大量服务器,显然对节省企业的成本有利。不过现在看来从云计算服务中受惠最大的恐怕是黑客等群体,黑客们开始利用亚马逊EC2等云计算服务来暴力破解并窃取用户信用卡密码。

2009-11-04 21:46:39

“史上最强Android木马”暴力破解分析
“史上最强Android木马”有多神奇?就此,手机安全专家为我们做了深度剖析,详解攻破“最强木马”三层防查杀的整个过程。

2013-06-08 10:41:51

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服