2019-03-11 14:20:298986人阅读
来自FortiGuard实验室的研究人员最近观察到一个新的恶意活动,其中幕后攻击者在Windows和Linux系统上分发StealthWorker恶意软件。
StealthWorker恶意软件(也被称为GoBrut)是一种使用Go语言编写的暴力恶意软件。它与一个受到破坏的电子商务网站相关,其中包含一个窃取个人信息和付款细节的嵌入式读取器。
然而,在攻击者嵌入读取器之前,他们首先需要获得访问其目标后端的权限——通常利用内容管理系统(CMS)或其插件中的漏洞来进入目标系统。另一个更简单的方法是使用暴力攻击。虽然速度很慢,但这种方法对于使用弱密码或常用密码的管理员仍然十分有效。
此恶意软件的早期版本仅针对Windows平台。但是对此版本的开放目录进行更深入的调查后发现,它现在还为Linux平台提供了二进制文件有效负载。值得注意的是,除了恶意功能更加全面之外,新版本StealthWorker还能够破坏多个平台,且该恶意软件也能够完成自我更新。
StealthWorker恶意软件首先创建计划执行,以确保即使在重新启动后恶意软件仍然存在于系统中。根据体系结构的不同,它将删除以下内容:
在这次新攻击活动中,网络犯罪分子利用暴力方法来针对性攻击具有弱凭据的设备。
在成功感染目标设备后,这一暴力恶意软件将在Windows和Linux系统上创建计划任务,通过将自身复制到Startup文件夹或/ tmp文件夹并分别设置crontab条目来获得持久性。
完成以上操作后,目标设备成为僵尸网络的一部分,StealthWorker将与其C2服务器(5.101.0.13:7000)通信,随时准备好接受各种恶意命令。
从C2服务器接收到主机和凭证列表后,StealthWorker下一步是登录目标主机。登录成功后,恶意软件会将使用过的主机和凭据报告给C2服务器。
研究人员指出,虽然暴力攻击是网络犯罪分子的常见做法,但在大规模分布式攻击活动中使用僵尸网络却并不多见。
网络犯罪分子主要使用StealthWorker恶意软件来检查目标服务器上运行的服务,并暴力攻击不同的服务器。此外,他们还采取了进一步措施来提高他们的成功率,同时能够感染更广泛的平台。
“来自不同源IP地址的分布式暴力攻击可以有效地绕过反暴力解决方案,这些解决方案通常基于阈值,”研究人员在博客中写道。此活动背后的攻击者不仅针对电子商务网站,而且还试图收集使用弱凭据的所有可能易受攻击的系统。
作者:Gump 原文地址:http://www.mottoin.com/news/134800.html