研究人员发现基于OpenSSH的Linux恶意软件系列

ESET研究人员发现了一组基于OpenSSH且以前未记录的Linux恶意软件系列，SSH（Secure SHell）加密的网络链路的网络协议，通常用于使用文本模式控制台管理Linux服务器。研究人员对该系列的21个后门进行分析，并以星球大战传奇中的行星进行命名，分别为Abafar、Akiva、Alderaan、Ando、Anoat、Atollon、Batuu、Bespin、Bonadan、Borleias、Chandrila、Coruscant、Crait、Endor、Jakku、Kamino、Kessel、Mimban、Onderon、Polis Massa、Quarren。这些OpenSSH后门的多数具有共同特征：字符串堆叠和利用UPX和XOR加密代码混淆；客户端、守护进程的凭证窃取和通过本地文件、C＆C服务器、电子邮件进行过滤；包含SSH身份验证期间检查的各种硬编码凭据的持久后门模式。其中4个后门带有值得注意功能：Kessel可实现HTTP、TCP和DNS与C2进行加密通信，进行命令执行；Kamino已存在许久并不断发展，在使用DarkLeech恶意软件攻击到后来Carbanak团体针对攻击俄罗斯银行的活动中被利用；Chandrila使用特定密码传递数据；Bonadan具有挖矿功能。目前还难以识别其原始感染媒介，研究人员猜测可能利用受害者使用受威胁的SSH客户机后窃取的凭据、暴力破解或利用服务器公开的易受攻击服务。