By | March 28, 2018

מומחי אבטחה של cisco Talos מצא חתיכת מותג חדש של תוכנות זדוניות קרא GoScanSSH. לפי המומחים, האיום החדש נעשה שימוש להתפשר שרתי SSH חשוף באינטרנט.

התוכנה הזדונית GoScanSSH נכתב בשפת תכנות קדימה, וזה די נדיר עבור פיתוח תוכנות זדוניות, ויש לו תכונות מעניינות מאוד. בין אלה היא העובדה כי התוכנה הזדונית מונע הדבקה התקנים הממשלה וברשתות צבאי.

“Talos מזוהה משפחה תוכנה זדונית חדשה אשר בשימוש להתפשר שרתי SSH חשופים לאינטרנט. תוכנה זדונית זו, אשר יש קראנו GoScanSSH, נכתב באמצעות שפת התיכנות קדימה, הציג מספר מאפיינים מעניינים.” ניתוח בהוצאת Talos הברית.

לדברי החוקרים, מפתחת תוכנות זדוניות יצרה ייחודי נגוע תוכנות זדוניות קבצים בינאריים עבור כל מערכת וכי הפקודה GoScanSSH ומינוף תשתית הבקרה (C2) היה שירות ה-proxy Tor2Web מקשה על המעקב של C & C תשתית וגמיש כדי takedowns.

התוכנה הזדונית GoScanSSH ערכו מתקפה נגד נגיש לציבור שרתי SSH שמאפשר האימות מבוסס-הסיסמה SSH.

רשימת המילים אשר התוקפים להשתמש מכיל יותר מ- username/ 7,000 הסיסמה שילובים. התוכנה הזדונית גילה פעם סט אישור חוקי, קובץ בינארי GoScanSSH תוכנות זדוניות ייחודי זה להיות שנוצר והעלתה אל שרת SSH פרוץ להורג לאחר מכן.

במהלך תהליך הסריקה עבור שרתי SSH פגיע, התוכנה הזדונית GoScanSSH יפיק אקראי כתובות IP, הימנעות שימוש מיוחד כתובות. לאחר מכן, האיום משווה כל כתובת IP לרשימה של בלוקים CIDR אשר התוכנה הזדונית לא ינסו לסרוק בשל העובדה כי הם טווחי רשת הצבאי והממשל.

על פי החוקרים, GoScanSSH זה פותח על מנת להימנע טווחים המוקצים מחלקת ההגנה של ארצות הברית, רק אחד מהטווחים רשת מוקצה ארגון בדרום קוריאה.

מומחי אבטחה רשומים יותר מ-70 דגימות תוכנות זדוניות ייחודיים הקשורים עם משפחת תוכנות זדוניות GoScanSSH, חלק הדגימות הודרו כדי לתמוך במספר ארכיטקטורות המערכת כולל x86, x86_64, ואת MIPS64.

היו גם גירסאות מרובות (למשל, גירסאות 1.2.2, 1.2.4, 1.3.0, וכו) של האיום, רומז כי ההאקרים מאחורי GoScanSSH לשמור על שיפור של קוד זדוני.

המומחים טוענים כי התוקפים הם משאבי טוב ועם משמעותי מיומנויות והם בטח ינסה להתפשר ברשתות גדולות יותר.

היוצרים של GoScanSSH היה פעיל מאז יוני 2017, מאז, הם פרסו 70 גרסאות תוכנות זדוניות שונות באמצעות למעלה מ 250 ברורים C & C שרתים.

ניתוח הנתונים של DNS פסיבי קשור כל קבוצות C2 שנאספו מכל הדגימות שנותחה אישר כי מספר מערכות נגועות היא כיום נמוך.

“בניתוח נתוני DNS פסיבי קשור כל קבוצות C2 שנאספו מכל הדגימות Talos ניתח, רזולוציה ניסיונות נראו שראשיתה יוני 19, 2017, המציין כי הקמפיין הזה ההתקפה כבר מתמשך במשך תשעה חודשים לפחות. בנוסף, התחום C2 עם המספר הגדול ביותר של רזולוציה בקשות נראה פעמים 8,579.” הניתוח Talos קורא.

Leave a Reply

Your email address will not be published. Required fields are marked *