来自Linux的呐喊:主人!长点心吧!
黑客正在利用SSH暴力攻击以接管仅使用弱口令保护的 Linux 系统,并向其中部署一套名为 Chaos 的后门。这种恶意软件的攻击在2017年6月被安全社区陆续发现,最近的现身在安全公司 GoSecure 的分析报告当中。
Chaos 源自2013年的 sebd 工具集
根据 GoSecure 方面的专家们表示,该后门其实并非新生事物,而是“sbd” Linux 工具集中的组件之一。该组件则于2013年被小范围使用,而后又在 HackForums 论坛上以免费形式提供下载。目前来看,有人从 sebd 工具集源代码当中将该后门提取了出来,并将其重新命名为“Chaos”,且目前利用其作为Linux服务器攻击活动中的第一阶段 Playload。
在 GoSecure 发现的攻击活动当中,黑客们利用 Chaos 进行恶意转储,旨在将被入侵的 Linux 肉鸡绑定至通过 IRC 协议所控制的僵尸网络之内。
Chaos 本身并不算先进,也没有利用任何新的安全漏洞。Linux 大师兼至顶网记者史蒂芬·J·沃恩尼柯尔斯于本周率先指出,该后门实际上并不依赖于任何漏洞利用机制,而只是抓住了服务器管理员犯下的低级错误——即未能为服务器设置高强度密码。
Chaos巧妙回避防火墙
Chaos 惟一有趣的一点在于其会在端口8338上打开一个原始套接字(socket),并立足于此进行命令监听。
GoSecure 的专家们表示:“合格的防火墙都能够阻止传入的数据包进入任何未出于明确操作目的而被开启的端口。然而,对于使用原始套接字的 Chaos 而言,其完全能够借助现有合法服务的端口以实现后门触发。”
除了允许 Chaos 正常起效且不干扰已经在该端口上运行的合法服务外,这种原始套接字利用手法还能够让服务器管理员在运行基础命令 nestat -w 检查时,不会发现该后门进程。
由于 Chaos 并不会单独出现,而是至少会配合一个具有远程代码执行能力的 IRC Bot,因此E安全建议用户利用可靠的备份对受感染主机进行全新安装,同时使用一组新的登录凭证。