在今年3月份，FortiGuard威胁研究与响应实验室公开披露了一种名为“GoBrut”（采用Go语言编写，也被称为“Stealthworker”）的僵尸病毒，它可以同时感染Windows和Linux系统，并对特定软件发动暴力破解攻击。

一开始，GoBrut所针对的软件是PhpMyAdmin，一款数据库管理工具。但从FortiGuard实验室捕获的最新版本来看，它的暴力破解攻击名单已经得到扩充，涵盖了更多的软件和服务。

新版本GoBrut分析

FortiGuard实验室捕获的GoBrut样本的最早版本是v1.5，而最新捕获的样本标注为v3.11。

以下是GoBrut v3.11的main_init()函数，在不同版本中添加的功能也已经标注出。

图1. GoBrut v3.11的main_init()函数

从上图我们可以看出，几乎在每一次版本更新中，GoBrut的开发者都会为其添加一些新的功能。

总的来说，这些功能可以被分为三大类：

图2.主要功能

下图展示了GoBrut的暴力破解攻击目标软件和服务及其对应的命令。（“×”表示不支持）

图3.暴力破解攻击目标软件和服务列表

图4.其他服务列表

图5.其他功能

命令与控制（C2）

C2包含很多有用的数据，包括最新的二进制文件、为每一个“肉鸡”（受感染计算机）分配的任务以及用于执行暴力破解攻击的凭证，具体如下：

• /storage/ – open directory for latest samples打开目录以获取最新样本；
• /project/active – C2服务器为“肉鸡”指定攻击任务；
• /gw?worker={worker} –C2服务器为“肉鸡”指定攻击目标。

图6.C2服务器与“肉鸡”的通信

图7. C2服务器为“肉鸡”指定攻击任务

FortiGuard实验室拦截了超过9800万个攻击任务，大致可以分为如下几种：

图8.“肉鸡”攻击任务统计

有超过一半攻击任务针对的都是SSH服务。事实上，这并不值得奇怪，因为SSH通常安装在服务器上，以便管理员可以远程登录。

结论

GoBrut持续不断地被更新，说明它的开发者非常活跃。

从v3.11版本所配备的目标软件和服务来看，GoBrut的攻击目标显然已经不再仅限于电子商务网站，所有仍在使用存在安全漏洞的软件和服务的系统都是它的菜。

鉴于GoBrut的攻击方式是暴力破解攻击，启用双因素身份验证、设置一个复杂程度较高的密码显然十分必要，至少不应该使用默认用户名和密码。