天创培训:您身边的信息安全培训专家!
行业动态
恶意软件GoScanSSH目标瞄准Linux设备 可避开政府和军用服务器

恶意软件GoScanSSH目标瞄准Linux设备 可避开政府和军用服务器

思科Talos团队最近发现了一个新的恶意软件家族,针对了易受攻击的Linux设备,并极力避免感染政府和军用网络中的设备。

这个恶意软件家族被命名为“GoScanSSH”,来源于它的主要特征和功能——采用Go语言编码、使用受感染设备扫描新目标以及将SSH端口作为感染切入点。

GoScanSSH并不是典型的物联网僵尸网络Bots

Talos团队表示,GoScanSSH的感染过程相对来说比较复杂,并且与典型的物联网僵尸网络Bots(能执行外部命令的自动运行型木马)有所不同。它似乎只在组织内部网络上寻找立足点,并且极力避开政府和军用网络(GoScanSSH包含了两份黑名单:一份IP黑名单与一份域名黑名单,用于在感染过程中排除特定网站)。

GoScanSSH的目标显然是那些开启了SSH端口服务且可公开访问的Linux设备,在初始感染中,它会使用一份包含了7000多个用户名和密码组合的单词列表来尝试进行SSH身份验证暴力破解。

GoScanSSH使用的用户名包括:admin、guest、oracle、osmc、pi、root、test、ubnt、ubuntu和user。如果这些SSH端口被配置为使用默认凭证或者较弱的凭证,便会很容易受到GoScanSSH的感染。

一个典型的GoScanSSH感染过程详述如下:

  • 在已受感染设备上随机选取一个IP地址;

  • 检查该IP地址是否位于IP黑名单中;

  • 在22端口上扫描这个IP地址,以查找开放的SSH端口;

  • 如果这个IP地址具有开放的SSH端口,GoScanSSH会运行反向DNS查找,以查看IP地址是否托管有网站;

  • 如果IP地址托管有网站,GoScanSSH会将网站域名与域名黑名单进行对比。这份黑名单中包括:.mil、.gov、.army、.airforce、.navy、.gov.uk、.mil.uk、.govt.uk、.mod.uk、.gov.au、.govt.nz、.mil.nz、.parliament.nz、.gov.il、.muni.il、.idf.il、.gov.za、.mil.za、.gob.es和.police.uk,这样做的目的是为了避开政府和军事网站;

  • 如果IP地址托管有任何与政府、军事或执法领域相关的网站,GoScanSSH将转向新的IP地址;

  • 如果IP地址没有托管此类网站,GoScanSSH将会进行上述中的SSH身份验证暴力破解;

  • 如果SSH身份验证通过,GoScanSSH向位于暗网的C&C服务器报告(通过Tor2Web代理进行通信);

  • 攻击者接下来便会手动登录到新发现的设备,并进行GoScanSSH安装;

  • GoScanSSH在建立新的立足点后,便会回到第一步,以寻找下一个目标。

Talos团队表示,他们到目前为止已经发现了超过70个独特的GoScanSSH恶意软件样本,涉及多个版本(如1.2.2、1.2.4、1.3.0等),这表明GoScanSSH的开发者仍在对其进行不断的开发和改进。

GoScanSSH看起来很适合挖矿,但更可能不是

GoScanSSH的这种感染模式让它看起来很适合安装加密货币挖矿软件,因为它能够通过自动扫描以发现新的目标。但直到目前,这种情况并没有出现。

Talos团队更是表示,根据GoScanSSH所使用的用户名和密码列表来看,它所针对的目标基本上都是那些没有配备挖矿所需必要硬件的物联网设备。

GoScanSSH所针对的目标可能包含以下设备:开源嵌入式 Linux 娱乐中心(OpenELEC)、树莓派、开源媒体中心(OSMC)、使用默认凭证的Ubiquiti设备、使用默认凭证的PolyCom(宝利通)SIP电话、使用默认凭证的华为设备、使用默认凭证的Asterisk 设备等。

GoScanSSH目前仅组建了一个小型的僵尸网络

就目前而言,虽然我们并不清楚GoScanSSH开发者的最终目的究竟是什么。但由于在GoScanSSH的部署过程中,他们极力在避开政府和军用网络,这确实看起来像是有人在为入侵更大的网络做准备。

尽管自2017年6月以来一直活跃,并且已经有超过70多个独特的样本被部署以及超过250个不同的C&C服务器被使用。但Talos团队发现,真正受感染设备的数量非常少。

根据思科的被动DNS数据,具有最多DNS解析请求的C&C服务器域名已经被观察到出现了8579次,与大多数物联网僵尸网络相比,这个数量非常小。

尽管如此,Talos团队还是建议各组织应采取必要的措施来保护自己暴露在互联网上的服务器,在新系统部署到工作环境之前应该更改其默认凭证,并确保这些系统处于持续的监控之下。