新闻快讯
< >

GoScanSSH特意绕开政府和军用服务器,背后有无更大阴谋?

E安全3月30日讯 安全专家最近发现一种新型恶意软件 GoScanSSH,其专门针对易受攻击的 Linux 类系统,且尽可能避免感染政府与军事网络上的设备。

GoScanSSH恶意软件避免感染政府与军方服务器-E安全

GoScanSSH 以 Go语言编写而成,利用受感染主机扫描新的主机,并利用 SSH 端口作为其切入点,整个感染流程相对比较复杂,但 GoScanSSH 似乎并非用于构建物联网(IoT)僵尸网络。

GoScanSSH攻击过程

GoScanSSH 看似是由某先进威胁攻击者所创建,旨在立足内部网络寻找立足点,但同时非常谨慎地避免感染政府、军事、部队或者执法机构网络,这也许是为了降低其受到相关审查、甚至是执法性审查的可能性。典型 GoScanSSH 感染过程如下所述:

1、已感染设备选择一个随机 IP。

2、GoScanSSH 检查该选定 IP 是否处于其两份 IP 黑名单之内(其一为具有特殊用途的地址,其二为各政府及军事机构所控制的IP范围)。
3、GoScanSSH会在端口22上扫描该 IP,查找开放 SSH 端口。

4、如果该 IP 开放 SSH 端口,GoScanSSH 就运行反向 DNS 查找以查看该 IP 是否托管任意网络/域名。

5、如果该 IP 托管有网站,则 GoScanSSH 根据第二份黑名单对该域名进行查找。

6、第二项扫描负责检查目标域名是否包含以下 TLD:

.mil、.gov、.army、.airforce、.navy、.gov.uk、.mil.uk、.govt.uk、.mod.uk、.gov.au、.govt.nz、mil.nz、.parliament.nz、.gov.il、.muni.il、.idf.il、.gov.za、.mil.za、.gob.es、.plice.uk。

7、如果该 IP 托管有任何政府、军方或者执行机构域名,GoScanSSH则转向新的 IP 地址。

8、如果经扫描确认,目标 IP 不存在于两份黑名单当中,则该恶意软件启动词典暴力攻击以猜测 SSH 凭证。

9、该恶意软件使用一份包含超过7000条用户-密码组合的列表。大部分组合专门针对 Linux 类设备,但也有部分组合属于常见的用户-密码组合。

10、当 GoScanSSh 发现远程设备的 SSH 凭证后,其会将信息回报给位于暗网中的 命令与控制“C&C”服务器(通信通过Tor2Web代理实现)。

11、欺诈分子而后会整理出一份 GoScanSSH 恶意软件的特殊二进制版本。他们随后手动登录至新设备并向其中安装新的 GoScanSSH 恶意软件。该恶意软件会运行一系列哈希计算,用以确定目标设备的硬件功能并将结果回报给 C&C 服务器。

12、GoScanSSh开始对其它潜在感染目标进行扫描。

思科Talos的研究人员们表示,他们目前已经发现了超过70种独特的 GoScanSSH 恶意软件样本,且其中相当一部分拥有不同的版本号(1.2.2、1.2.4、1.3.0等),这意味着该恶意软件的作者仍在不断为其开发新的变种。

GoScanSSH看似为采矿恶意软件

有研究人员通过 GoScanSSh 在受感染设备上运行哈希计算的表现推测出,攻击者可能打算在受感染设备上安装加密货币采矿器。但截至目前,研究人员们还没有发现任何实际证据能够支持这一猜测。

而且考虑到该恶意软件在暴力攻击期间会使用默认的用户-密码组合列表,因此上述理论可能并不可行。思科公司安全人员表示,这些凭证显然归属于IoT设备,而这些设备并不具备能够处理加密货币采矿运算的必要硬件资源。

举例来说,在暴力攻击期间,GoScanSSH 会利用与 Open Embedded Linux 娱乐中心(简称 OpenELEC)系统、Raspberry Pi 单片机、开源媒体中心(简称OSMC)设备、Ubiquiti 路由器、PolyCom SIP 手机、华为设备以及 Asterisk 服务器等相关的默认凭证。

只感染少量设备

目前尚不清楚 GoScanSSH 的部署者到底打算利用其实现怎样的目的。但通过其在各台受感染主机上手动部署恶意软件,同时刻意回避政府与军事网络的作法,可以想见攻击者似乎是打算闯入规模更大的网络并实施更为猛烈的入侵活动。

这种保持低调的策略也确实获得了相当显著的效果。尽管自2017年6月以来即保持活跃,部署70个不同版本且采用超过250台不同的 C&C 服务器,奇怪的是研究人员很少发现与 GoScanSSH 相关的受感染肉鸡设备。

GoScanSSH恶意软件避免感染政府与军方服务器-E安全

最终,研究人员们利用与各 C&C 服务器相关的域名被动 DNS 数据发现了其中的联系。研究人员发现,C&C 服务器请求数量很少,这表明 GoScanSSH 实际只是一套规模很小的僵尸网络。

根据思科公司整理的被动 DNS 数据,DNS 解析请求数量最高的 C&C 域名也仅进行过8579次解析操作,这样的规模要远低于大部分物联网僵尸网络。事实上,如果不同其活跃度在过去十年内陡增十倍,研究人员们可能依然无法揭开GoScanSSH的神秘面纱。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。