FireEye 的研究人员侦测到一次攻击活动中,恶意攻击者使用了 Secure Shell (SSH) 暴力破解攻击方式来在Linux和其他类型的系统上安装了一份 DDoS 攻击恶意软件。
这个叫做 XOR.DDoS 的恶意软件, 早在9月就被恶意软件必死研究组(Malware Must Die)发现, 他们将其链接到了一个中国演员的网页。XOR.DDoS 不同于其他的 DDoS 攻击机器人,因为它使用 C/C++ 编写的,且为了攻击的持久性,它还运用了一个rootkit组件。
FireEye 于十一月中旬开始分析 XOR DDoS,当时发现有SSH暴力破解攻击其全球威胁研究网络,来自属于Hee Thai有限公司的IP地址, 这明显是一家总部设在香港的机构. 安全机构发现首个24小时时段内每台服务器有超过20000次的SSH尝试登陆.
该攻击活动的第二个阶段发生在十一月19到30日. 到了11月底,FireEye已经观察到大约15万次尝试登陆,几乎全部都来自于Hee Thai有限公司的IP地址. 第三阶段,据研究人员声称比前两个阶段更加的“混乱”,开始于12月7日,且今天仍在继续. 1月底已经发现每台服务器有将近100万次的尝试登陆发生.
在一个SSH密码被暴力破解成功的情况下,攻击者会登录到目标服务器,并执行SSH的shell命令. 他们会从目标设备处提取到内核的头文件和版本字符串,利用这些来在其复杂的构建系统上创建按需求编译的恶意软件.
一旦安装在系统之上,XOR.DDoS 恶意软件就会连接到它的命令和控制(C&C)服务器 , 从那里他就能获得一个目标的清单. 除了 DDoS 攻击, 机器人还能够下载和执行二进制文件,并且他还能够利用一个自我进化的特性来用新的变种替换其自身.