GoScanSSH perisian berniat jahat tidak menjangkiti rangkaian tentera dan kerajaan

Computer Security News

Pakar Keselamatan Talos Cisco menemui sekeping baru perisian berniat jahat yang dipanggil GoScanSSH. Menurut pakar, ancaman baru telah digunakan untuk berkompromi dengan pelayan SSH terdedah dalam talian.

Malware GoScanSSH yang ditulis dalam Bahasa pengaturcaraan pergi, yang agak luar biasa untuk pembangunan perisian berniat jahat, dan ia mempunyai ciri-ciri yang sangat menarik. Antaranya ialah hakikat bahawa perisian berniat jahat yang mengelakkan menjangkiti peranti pada rangkaian tentera dan kerajaan.

“Talos dikenal pasti sebuah keluarga perisian berniat jahat yang baru yang digunakan untuk berkompromi dengan pelayan SSH terdedah kepada internet. Malware ini, yang kami telah menamakan GoScanSSH, telah ditulis dengan menggunakan bahasa pengaturcaraan yang pergi, dan mempamerkan beberapa ciri-ciri menarik.” analisis diterbitkan oleh Syarikat Talos.

Menurut pengkaji, pemaju perisian berniat jahat telah mencipta unik dijangkiti malware binari untuk setiap sistem dan bahawa perintah GoScanSSH dan infrastruktur kawalan (C2) adalah memanfaatkan perkhidmatan proksi Tor2Web yang membuat sukar mengesan C & C infrastruktur dan berdaya tahan untuk takedowns.

Malware GoScanSSH yang dijalankan pasukan-pasukan serangan terhadap pelayan SSH boleh diakses secara terbuka yang membenarkan pengesahan SSH berasaskan kata laluan.

Senarai perkataan yang digunakan penyerang yang mengandungi lebih daripada 7,000 username/ kombinasi kata laluan. Sebaik sahaja perisian berniat jahat yang menemui satu set kelayakan yang sah, perduaan malware GoScanSSH unik sedang dicipta dan dimuat naik ke pelayan SSH terjejas untuk dilaksanakan selepas itu.

Semasa proses imbasan untuk terdedah SSH pelayan, perisian berniat jahat di GoScanSSH secara rawak menjana alamat IP, mengelakkan Khas-penggunaan alamat. Selepas itu, ancaman membandingkan setiap alamat IP ke senarai blok CIDR yang perisian berniat jahat yang akan cuba untuk mengimbas disebabkan oleh hakikat bahawa mereka adalah kerajaan dan julat rangkaian tentera.

Menurut para penyelidik, GoScanSSH dibangunkan untuk mengelakkan julat yang diperuntukkan pada US Department of Defense, dan satu-satunya julat rangkaian diperuntukkan kepada sesebuah organisasi di Korea Selatan.

Pakar Keselamatan berdaftar lebih daripada 70 sampel malware unik yang dikaitkan dengan keluarga malware GoScanSSH, dan sebahagian daripada sampel telah disusun untuk menyokong pelbagai sistem bina termasuk x86, x86_64, LENGAN dan MIPS64.

Ada juga beberapa versi (e.g, versi 1.2.2, 1.2.4, 1.3.0, dan sebagainya) daripada ancaman, mencadangkan bahawa hacker di sebalik GoScanSSH terus memperbaiki kod berniat jahat.

Pakar mendakwa bahawa penyerang itu adalah juga sumber dan dengan ketara kemahiran dan mereka mungkin akan cuba berkompromi dengan rangkaian yang lebih besar.

Pencipta GoScanSSH telah aktif sejak Jun 2017 dan sejak itu, mereka telah dikerahkan 70 versi perisian berniat jahat lain yang menggunakan lebih daripada 250 berbeza C & C pelayan.

Analisis data DNS pasif yang berkaitan kepada semua domain C2 yang dikutip dari semua sampel dianalisis mengesahkan bahawa bilangan sistem yang dijangkiti adalah rendah buat masa ini.

“Dalam menganalisis data DNS pasif yang berkaitan dengan semua domain C2 yang dikutip dari semua sampel Talos yang dianalisis, percubaan resolusi telah dilihat bertarikh 19 Jun 2017, menunjukkan bahawa kempen serangan ini telah berterusan selama sekurang-kurangnya sembilan bulan. Di samping itu, domain C2 dengan jumlah terbesar resolusi meminta telah dilihat 8,579 times.” Analisis Talos membaca.


Leave a Reply

Your email address will not be published. Required fields are marked *