在今年3月份，FortiGuard威脅研究與響應實驗室公開披露了一種名為“GoBrut”（採用Go語言編寫，也被稱為“Stealthworker”）的殭屍病毒，它可以同時感染Windows和Linux系統，並對特定軟件發動暴力破解攻擊。

一開始，GoBrut所針對的軟件是PhpMyAdmin，一款數據庫管理工具。但從FortiGuard實驗室捕獲的最新版本來看，它的暴力破解攻擊名單已經得到擴充，涵蓋了更多的軟件和服務。

新版本GoBrut分析

FortiGuard實驗室捕獲的GoBrut樣本的最早版本是v1.5，而最新捕獲的樣本標註為v3.11。

以下是GoBrut v3.11的main_init()函數，在不同版本中添加的功能也已經標註出。

圖1. GoBrut v3.11的main_init()函數

從上圖我們可以看出，幾乎在每一次版本更新中，GoBrut的開發者都會為其添加一些新的功能。

總的來說，這些功能可以被分為三大類：

圖2.主要功能

下圖展示了GoBrut的暴力破解攻擊目標軟件和服務及其對應的命令。（“×”表示不支持）

圖3.暴力破解攻擊目標軟件和服務列表

圖4.其他服務列表

圖5.其他功能

命令與控制（C2）

C2包含很多有用的數據，包括最新的二進制文件、為每一個“肉雞”（受感染計算機）分配的任務以及用於執行暴力破解攻擊的憑證，具體如下：

• /storage/ – open directory for latest samples打開目錄以獲取最新樣本；
• /project/active – C2服務器為“肉雞”指定攻擊任務；
• /gw?worker={worker} –C2服務器為“肉雞”指定攻擊目標。

圖6.C2服務器與“肉雞”的通信

圖7. C2服務器為“肉雞”指定攻擊任務

FortiGuard實驗室攔截了超過9800萬個攻擊任務，大致可以分為如下幾種：

圖8.“肉雞”攻擊任務統計

有超過一半攻擊任務針對的都是SSH服務。事實上，這並不值得奇怪，因為SSH通常安裝在服務器上，以便管理員可以遠程登錄。

結論

GoBrut持續不斷地被更新，說明它的開發者非常活躍。

從v3.11版本所配備的目標軟件和服務來看，GoBrut的攻擊目標顯然已經不再僅限於電子商務網站，所有仍在使用存在安全漏洞的軟件和服務的系統都是它的菜。

鑑於GoBrut的攻擊方式是暴力破解攻擊，啟用雙因素身份驗證、設置一個複雜程度較高的密碼顯然十分必要，至少不應該使用默認用戶名和密碼。