Центр аварийного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил вредоносную программу ShellBot, устанавливаемую на плохо управляемые SSH-серверы Linux. ShellBot, также известный как PerlBot, является вредоносной программой DDoS Bot, разработанной на языке Perl и характерно использующей протокол IRC для связи с сервером C&C.
ShellBot - это старая вредоносная программа, которая постоянно использовалась и все еще используется сегодня для проведения атак на системы Linux.
ShellBot Malware
В отличие от настольных компьютеров, которые являются основной рабочей средой для обычных пользователей, серверы обычно отвечают за предоставление конкретных услуг. Соответственно, в настольных средах атаки на вредоносное ПО обычно осуществляются через веб-браузеры или почтовые вложения, а субъекты угроз также распространяют вредоносное ПО, замаскированное под легитимные программы, чтобы побудить пользователей установить их. Субъекты угроз, атакующие серверные среды, используют другие методы, поскольку существуют ограничения на распространение вредоносного ПО вышеупомянутыми способами. Сервисы, которые плохо управляются или слабы для эксплуатации уязвимостей, поскольку не были исправлены до последней версии, являются основными целями.
Основным примером плохо управляемой службы является служба, в которой используются простые учетные данные, что делает сервер уязвимым для атак по словарю. Протокол удаленного рабочего стола (RDP) и служба MS-SQL являются яркими примерами векторов атак, которые используются при атаках на операционные системы Windows. В серверах Linux обычно атакам подвергаются службы Secure Shell (SSH). В средах IoT, где установлен старый Linux-сервер или встроенная ОС Linux, служба Telnet становится мишенью для атак по словарю.
Считается, что штаммы вредоносного ПО ShellBot, о которых пойдет речь в этой статье, были установлены после того, как угрожающие субъекты использовали учетные данные, полученные с помощью сканеров и вредоносных программ SSH BruteForce на целевых системах. После сканирования систем, имеющих рабочий порт 22, угрожающие субъекты ищут системы, где активна служба SSH, и используют список часто используемых учетных данных SSH для начала атаки по словарю. Ниже приведен список реальных учетных данных, используемых угрожающими субъектами, которые устанавливают ShellBot. (В реальных атаках использовалось гораздо большее количество учетных данных, но здесь приведены только основные примеры).
| User | Password |
| deploy | password |
| hadoop | hadoop |
| oracle | oracle |
| root | 11111 |
| root | Passw0rd |
| ttx | ttx2011 |
| ubnt | ubnt |
Особенностью ShellBot, помимо того, что он разработан на Perl, является то, что он использует протокол IRC для связи с серверами C&C.
Indicators of Compromise
IPv4 Port Combinations
- 164.132.224.207:80
- 164.90.240.68:6667
- 176.123.2.3:6667
- 192.3.141.163:6667
- 206.189.139.152:6667
- 49.212.234.206:3303
- 51.195.42.59:8080
Domain Port Combinations
- gsm.ftp.sh:1080
URLs
- 193.233.202.219/mperl
- 193.233.202.219/niko1
- 80.94.92.241/bash
- http://185.161.208.234/test.jpg
- http://34.225.57.146/futai/perl
- http://39.165.53.17:8088/iposzz/dred
- http://80.68.196.6/ff
MD5
- 176ebfc431daa903ef83e69934759212
- 2cf90bf5b61d605c116ce4715551b7a3
- 3eef28005943fee77f48ac6ba633740d
- 55e5bfa75d72e9b579e59c00eaeb6922
- 6d2c754760ccd6e078de931f472c0f72
- 7bc4c22b0f34ef28b69d83a23a6c88c5
- 7ca3f23f54e8c027a7e8b517995ae433
- bef1a9a49e201095da0bb26642f65a78