在今年3月份,FortiGuard威脅研究與響應實驗室公開披露了一種名為“GoBrut”(採用Go語言編寫,也被稱為“Stealthworker”)的殭屍病毒,它可以同時感染Windows和Linux系統,並對特定軟件發動暴力破解攻擊。
一開始,GoBrut所針對的軟件是PhpMyAdmin,一款數據庫管理工具。但從FortiGuard實驗室捕獲的最新版本來看,它的暴力破解攻擊名單已經得到擴充,涵蓋了更多的軟件和服務。
新版本GoBrut分析
FortiGuard實驗室捕獲的GoBrut樣本的最早版本是v1.5,而最新捕獲的樣本標註為v3.11。
以下是GoBrut v3.11的main_init()函數,在不同版本中添加的功能也已經標註出。
從上圖我們可以看出,幾乎在每一次版本更新中,GoBrut的開發者都會為其添加一些新的功能。
總的來說,這些功能可以被分為三大類:
下圖展示了GoBrut的暴力破解攻擊目標軟件和服務及其對應的命令。(“×”表示不支持)
命令與控制(C2)
C2包含很多有用的數據,包括最新的二進制文件、為每一個“肉雞”(受感染計算機)分配的任務以及用於執行暴力破解攻擊的憑證,具體如下:
- /storage/ – open directory for latest samples打開目錄以獲取最新樣本;
- /project/active – C2服務器為“肉雞”指定攻擊任務;
- /gw?worker={worker} –C2服務器為“肉雞”指定攻擊目標。
FortiGuard實驗室攔截了超過9800萬個攻擊任務,大致可以分為如下幾種:
有超過一半攻擊任務針對的都是SSH服務。事實上,這並不值得奇怪,因為SSH通常安裝在服務器上,以便管理員可以遠程登錄。
結論
GoBrut持續不斷地被更新,說明它的開發者非常活躍。
從v3.11版本所配備的目標軟件和服務來看,GoBrut的攻擊目標顯然已經不再僅限於電子商務網站,所有仍在使用存在安全漏洞的軟件和服務的系統都是它的菜。
鑑於GoBrut的攻擊方式是暴力破解攻擊,啟用雙因素身份驗證、設置一個複雜程度較高的密碼顯然十分必要,至少不應該使用默認用戶名和密碼。
閱讀更多 黑客視界 的文章