GoScanSSH Malware nie zainfekować, rząd i wojskowych sieci

Computer Security News

Eksperci bezpieczeństwa Cisco Talos znaleziono nowy kawałek malware o nazwie GoScanSSH. Zdaniem ekspertów nowe zagrożenie zostało użyte w celu złamania SSH serwerów udostępniane online.

GoScanSSH malware został napisany w języku programowania Go, co jest raczej rzadkością dla rozwoju złośliwego oprogramowania, i ma bardzo ciekawe funkcje. Wśród nich jest fakt, że złośliwe oprogramowanie pozwala uniknąć zainfekowaniu urządzenia w sieci wojskowych i rządowych.

“Talos zidentyfikowane nowe rodziny złośliwego oprogramowania, który był używany do kompromisu SSH serwerów udostępniane w Internecie. To złośliwe oprogramowanie, które nazwaliśmy GoScanSSH, zostało napisane przy użyciu języka programowania Go i wystawił kilka interesujących cech.” Analiza opublikowana przez Państwa Talos.

Według naukowców, deweloper szkodliwego oprogramowania stworzył unikalny malware plików binarnych dla każdego zainfekowany system oraz polecenie GoScanSSH i infrastruktury kontroli (C2) był wykorzystując usługę serwera proxy Tor2Web, Dokonywanie twarde śledzenia C & C infrastruktury i sprężyste do obalenia.

GoScanSSH malware prowadzone ataku brute-force publicznie SSH serwerów pozwalając hasło uwierzytelniania SSH.

Zawiera listę słów, które napastnicy wykorzystać więcej niż 7,000 username/ kombinacji hasła. Po malware znaleziony zestaw prawidłowe poświadczenie, unikalne binarny GoScanSSH malware jest utworzony i przesłany na niepewne serwera SSH ma być wykonane po tym.

Podczas procesu skanowania dla wrażliwych SSH serwerów GoScanSSH szkodnik losowo generuje adresy IP, unikając adresy specjalnego przeznaczenia. Po tym zagrożenie porównuje każdy adres IP do listy bloków CIDR, które złośliwego oprogramowania nie będzie podejmować prób skanowania ze względu na fakt, że są one rządu i zakresów sieci wojskowych.

Według naukowców, GoScanSSH został opracowany w celu uniknięcia zakresów, które są przypisane do US Department of Defense, i tylko jeden z zakresów sieci jest przypisany do organizacji w Korei Południowej.

Eksperci bezpieczeństwa zarejestrowanych ponad 70 unikalnych malware próbki związane z rodziny złośliwego oprogramowania GoScanSSH, a niektóre próbki zostały skompilowane do obsługi wielu architektur systemów, w tym x86, x86_64, ramię i MIPS64.

Było też wiele wersji (np., wersji 1.2.2, 1.2.4, 1.3.0, itp.) zagrożenia, co sugeruje, że hakerzy za GoScanSSH zachować poprawę złośliwego kodu.

Eksperci twierdzą, że napastnicy są dobrze wyposa˝one i z istotnych umiejętności i one prawdopodobnie będzie próbował naruszyć większych sieci.

Twórcy GoScanSSH były aktywne od czerwca 2017 roku i od tego czasu, one mają wdrożone 70 wersji różnych złośliwego oprogramowania przy użyciu ponad 250 różnych, C & C serwerów.

Pasywne analizy danych DNS związane z wszystkich domen C2 zebrane od wszystkich analizowanych próbek potwierdził, że liczba zainfekowanych systemów jest obecnie niski.

“W analizie pasywnej danych DNS związane z wszystkich domen C2 zebrane ze wszystkich próbek Talos analizowane, próby rozpoznawania obserwowano sięga 19 czerwca 2017 r., wskazując, że ta kampania ataku trwają co najmniej dziewięć miesięcy. Ponadto domena C2 z największą liczbą rezolucji żądania widział 8,579 razy.” analizy Talos odczytuje.


Leave a Reply

Your email address will not be published. Required fields are marked *