一款應用于Linux系統(包括ARM架構的嵌入式設備)的惡意軟件，采用高端精密的定制內核工具包。

這款惡意軟件名為XOR.DDoS，由安全研究機構“惡意軟件必須死”在去年9月首次發現。但它此后又經歷了進化升級。安全公司火眼仔細分析了這一威脅，并發布安全報告稱XOR.DDoS出現了新的版本。

XOR.DDoS 通過SSH暴力破解，利用不同的字典猜解技術，在以往的數據泄露積累的密碼列表基礎上嘗試猜出超級用戶(root)密碼。火眼的監測結果顯示：一臺目標服務器上24小時內就有超過2萬次SSH登錄嘗試，在11月中旬到1月下旬期間有超過100萬次每臺服務器的登錄嘗試頻率。

一旦攻擊者成功猜出root用戶密碼，便會向服務器發送一段復雜的SSH遠程指令——由多條shell命令(以分號分隔)組成，有時候其長度會超過6千字符。作為一個復雜精密的感染鏈的一環，這些指令會下載并執行各種腳本。這條感染鏈依賴于一個按需生成惡意程序的系統。

攻擊中SSH遠程指令的使用是非常重要的一環，因為OpenSSH不記錄這類指令，“即使已經配置了最詳細的日志跟蹤也不會記錄下來。”火眼研究員說：“其 原因在于遠程指令不創建終端會話，終端日志系統也不捕捉這些事件。last和lastlog指令，也就是顯示最近登錄用戶列表的指令，同樣無視了SSH遠 程登錄。”

最初的腳本查詢被感染系統的Linux內核頭文件，從存在的可加載內核(LKMs)中抽取vermagic字符串。這一信息被發回攻擊者控制的服務器，用以自動創建為每個受感染系統特別定制的具有LKMs功能的工具包。

這一精密的定制架構自動創建適應不同內核和架構的LKM工具包，因為想在特定內核上運行就得針對其進行編譯。

“不同于內核應用程序編程接口(API)穩定而代碼兼容的Windows，Linux內核沒有這樣的API，其內核構件每個版本都不同，LKM與內核必須二進制兼容。”

這個定制工具包的目的就是隱藏與XOR.DDoS關聯的進程、文件和端口。另一個惡意程序也被安裝到目標系統中，主要用于供攻擊者展開分布式拒絕服務(DDoS)攻擊。

“但是，與典型的直接DDoS僵尸網絡不同，XOR.DDoS屬于針對Linux操作系統的更加高端復雜的惡意軟件家族，而且是多平臺的，其源代碼由C/C++構建，可以被編譯到x86、ARM和其他平臺上。”

XOR.DDoS也能下載和執行任意二進制文件，這一特性使其擁有了自升級的能力。迄今為止，火眼發現了XOR.DDoS的兩個主要版本，第二個主版本是在12月底發現的。

火眼研究員表示，網絡和嵌入式設備更容易遭受SSH暴力攻擊，終端用戶無力防護。

有很多嵌入式設備都被配置為可以遠程管理，而且可以從互聯網上接入。2012年，一位匿名研究員就劫持了42萬部使用默認密碼或無telnet登錄密碼的嵌 入式設備。作為研究項目Internet Census 2012(2012年全球可攻擊利用的嵌入式設備熱點分布圖)的一個部分，他用這些設備掃描了整個互聯網。

能用SSH登錄還使用弱密碼而對類似XOR.DDoS用過的復雜暴力攻擊毫無抵抗力的設備，其數量很可能遠遠不止這些。

如果可能，這些設備上的SSH服務器應被配置為使用加密密鑰而非密碼進行認證，還要禁止root帳戶的遠程登錄功能。“家庭和小型企業用戶可以安裝開源的fail2ban工具用iptables進行暴力攻擊的檢測和封鎖。”

原文地址：http://www.aqniu.com/tools/6639.html