ShellBot Malware IOCs

security IOC

Центр аварийного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил вредоносную программу ShellBot, устанавливаемую на плохо управляемые SSH-серверы Linux. ShellBot, также известный как PerlBot, является вредоносной программой DDoS Bot, разработанной на языке Perl и характерно использующей протокол IRC для связи с сервером C&C.

ShellBot - это старая вредоносная программа, которая постоянно использовалась и все еще используется сегодня для проведения атак на системы Linux.

ShellBot Malware

В отличие от настольных компьютеров, которые являются основной рабочей средой для обычных пользователей, серверы обычно отвечают за предоставление конкретных услуг. Соответственно, в настольных средах атаки на вредоносное ПО обычно осуществляются через веб-браузеры или почтовые вложения, а субъекты угроз также распространяют вредоносное ПО, замаскированное под легитимные программы, чтобы побудить пользователей установить их. Субъекты угроз, атакующие серверные среды, используют другие методы, поскольку существуют ограничения на распространение вредоносного ПО вышеупомянутыми способами. Сервисы, которые плохо управляются или слабы для эксплуатации уязвимостей, поскольку не были исправлены до последней версии, являются основными целями.

Основным примером плохо управляемой службы является служба, в которой используются простые учетные данные, что делает сервер уязвимым для атак по словарю. Протокол удаленного рабочего стола (RDP) и служба MS-SQL являются яркими примерами векторов атак, которые используются при атаках на операционные системы Windows. В серверах Linux обычно атакам подвергаются службы Secure Shell (SSH). В средах IoT, где установлен старый Linux-сервер или встроенная ОС Linux, служба Telnet становится мишенью для атак по словарю.

Считается, что штаммы вредоносного ПО ShellBot, о которых пойдет речь в этой статье, были установлены после того, как угрожающие субъекты использовали учетные данные, полученные с помощью сканеров и вредоносных программ SSH BruteForce на целевых системах. После сканирования систем, имеющих рабочий порт 22, угрожающие субъекты ищут системы, где активна служба SSH, и используют список часто используемых учетных данных SSH для начала атаки по словарю. Ниже приведен список реальных учетных данных, используемых угрожающими субъектами, которые устанавливают ShellBot. (В реальных атаках использовалось гораздо большее количество учетных данных, но здесь приведены только основные примеры).

User Password
deploy password
hadoop hadoop
oracle oracle
root 11111
root Passw0rd
ttx ttx2011
ubnt ubnt

Особенностью ShellBot, помимо того, что он разработан на Perl, является то, что он использует протокол IRC для связи с серверами C&C.

Indicators of Compromise

IPv4 Port Combinations

  • 164.132.224.207:80
  • 164.90.240.68:6667
  • 176.123.2.3:6667
  • 192.3.141.163:6667
  • 206.189.139.152:6667
  • 49.212.234.206:3303
  • 51.195.42.59:8080

Domain Port Combinations

  • gsm.ftp.sh:1080

URLs

  • 193.233.202.219/mperl
  • 193.233.202.219/niko1
  • 80.94.92.241/bash
  • http://185.161.208.234/test.jpg
  • http://34.225.57.146/futai/perl
  • http://39.165.53.17:8088/iposzz/dred
  • http://80.68.196.6/ff

MD5

  • 176ebfc431daa903ef83e69934759212
  • 2cf90bf5b61d605c116ce4715551b7a3
  • 3eef28005943fee77f48ac6ba633740d
  • 55e5bfa75d72e9b579e59c00eaeb6922
  • 6d2c754760ccd6e078de931f472c0f72
  • 7bc4c22b0f34ef28b69d83a23a6c88c5
  • 7ca3f23f54e8c027a7e8b517995ae433
  • bef1a9a49e201095da0bb26642f65a78

 

SEC-1275-1
Добавить комментарий