豆豆小说阅读网,魔天记忘语小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

一款高端精密的DDoS定制工具包

一款應用于Linux系統(tǒng)(包括ARM架構(gòu)的嵌入式設備)的惡意軟件，采用高端精密的定制內(nèi)核工具包。

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設,儀隴企業(yè)網(wǎng)站建設,儀隴品牌網(wǎng)站建設,網(wǎng)站定制,儀隴網(wǎng)站建設報價,網(wǎng)絡營銷,網(wǎng)絡優(yōu)化,儀隴網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學習、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

這款惡意軟件名為XOR.DDoS，由安全研究機構(gòu)“惡意軟件必須死”在去年9月首次發(fā)現(xiàn)。但它此后又經(jīng)歷了進化升級。安全公司火眼仔細分析了這一威脅，并發(fā)布安全報告稱XOR.DDoS出現(xiàn)了新的版本。

XOR.DDoS 通過SSH暴力破解，利用不同的字典猜解技術，在以往的數(shù)據(jù)泄露積累的密碼列表基礎上嘗試猜出超級用戶(root)密碼?；鹧鄣谋O(jiān)測結(jié)果顯示：一臺目標服務器上24小時內(nèi)就有超過2萬次SSH登錄嘗試，在11月中旬到1月下旬期間有超過100萬次每臺服務器的登錄嘗試頻率。

一旦攻擊者成功猜出root用戶密碼，便會向服務器發(fā)送一段復雜的SSH遠程指令——由多條shell命令(以分號分隔)組成，有時候其長度會超過6千字符。作為一個復雜精密的感染鏈的一環(huán)，這些指令會下載并執(zhí)行各種腳本。這條感染鏈依賴于一個按需生成惡意程序的系統(tǒng)。

攻擊中SSH遠程指令的使用是非常重要的一環(huán)，因為OpenSSH不記錄這類指令，“即使已經(jīng)配置了最詳細的日志跟蹤也不會記錄下來?！被鹧垩芯繂T說：“其原因在于遠程指令不創(chuàng)建終端會話，終端日志系統(tǒng)也不捕捉這些事件。last和lastlog指令，也就是顯示最近登錄用戶列表的指令，同樣無視了SSH遠程登錄?！?/p>

最初的腳本查詢被感染系統(tǒng)的Linux內(nèi)核頭文件，從存在的可加載內(nèi)核(LKMs)中抽取vermagic字符串。這一信息被發(fā)回攻擊者控制的服務器，用以自動創(chuàng)建為每個受感染系統(tǒng)特別定制的具有LKMs功能的工具包。

這一精密的定制架構(gòu)自動創(chuàng)建適應不同內(nèi)核和架構(gòu)的LKM工具包，因為想在特定內(nèi)核上運行就得針對其進行編譯。

“不同于內(nèi)核應用程序編程接口(API)穩(wěn)定而代碼兼容的Windows，Linux內(nèi)核沒有這樣的API，其內(nèi)核構(gòu)件每個版本都不同，LKM與內(nèi)核必須二進制兼容?！?/p>

這個定制工具包的目的就是隱藏與XOR.DDoS關聯(lián)的進程、文件和端口。另一個惡意程序也被安裝到目標系統(tǒng)中，主要用于供攻擊者展開分布式拒絕服務(DDoS)攻擊。

“但是，與典型的直接DDoS僵尸網(wǎng)絡不同，XOR.DDoS屬于針對Linux操作系統(tǒng)的更加高端復雜的惡意軟件家族，而且是多平臺的，其源代碼由C/C++構(gòu)建，可以被編譯到x86、ARM和其他平臺上?！?/p>

XOR.DDoS也能下載和執(zhí)行任意二進制文件，這一特性使其擁有了自升級的能力。迄今為止，火眼發(fā)現(xiàn)了XOR.DDoS的兩個主要版本，第二個主版本是在12月底發(fā)現(xiàn)的。

火眼研究員表示，網(wǎng)絡和嵌入式設備更容易遭受SSH暴力攻擊，終端用戶無力防護。

有很多嵌入式設備都被配置為可以遠程管理，而且可以從互聯(lián)網(wǎng)上接入。2012年，一位匿名研究員就劫持了42萬部使用默認密碼或無telnet登錄密碼的嵌入式設備。作為研究項目Internet Census 2012(2012年全球可攻擊利用的嵌入式設備熱點分布圖)的一個部分，他用這些設備掃描了整個互聯(lián)網(wǎng)。

能用SSH登錄還使用弱密碼而對類似XOR.DDoS用過的復雜暴力攻擊毫無抵抗力的設備，其數(shù)量很可能遠遠不止這些。

如果可能，這些設備上的SSH服務器應被配置為使用加密密鑰而非密碼進行認證，還要禁止root帳戶的遠程登錄功能。“家庭和小型企業(yè)用戶可以安裝開源的fail2ban工具用iptables進行暴力攻擊的檢測和封鎖?！?/p>

原文地址：http://www.aqniu.com/tools/6639.html

分享文章：一款高端精密的DDoS定制工具包
網(wǎng)站地址：http://www.fisionsoft.com.cn/article/copioee.html

新聞中心

其他資訊