【殭屍網絡】Ebury一次攻擊增兵7萬 感染40萬部Linux伺服器
ESET 專家與荷蘭國家高科技犯罪小組(NHTCU)合作進行調查,發現自 2009 年以來一隻名為 Ebury 的殭屍網絡已經感染了全球近 40 萬部 Linux 伺服器,而且在去年一次攻擊中,更一口氣增兵 7 萬,跟黑客採用的攻擊策略有極大關係。由於他們早前取得 Ebury 黑客集團使用的備份伺服器,因而有機會分析集團過去 15 年的演變歷史及攻擊策略。
最初通過憑證填充攻擊
專家認為對方最初的入侵是通過憑證填充攻擊,即是使用竊取的憑證登錄伺服器,之後惡意軟件就會從 wtmp 和 known_hosts 文件中竊取 SSH 連接列表及身分驗證密鑰,再利用這些密鑰嘗試登錄其他系統。如果 known_hosts 文件包含散列(hash)訊息,黑客還會嘗試對其內容進行暴力破解。
從獲得的數據顯示,Ebury 黑客收集到的 480 萬個 known_hosts 條目中,約有 200 萬個條目使用了散列,而當中約有 40% 便成功以猜測或暴力破解奪取。另外,黑客還可能會利用伺服器上運行中的軟件已知漏洞,進一步提升訪問權限。
進入下一階段,黑客會使用地址解析協議(ARP)攔截目標伺服器上的 SSH 流量,一旦用家通過 SSH 登錄受攻擊的伺服器,黑客就能捕獲登錄憑證。過往黑客入侵受感染的伺服器後,主要是攔截及竊取用家在電商平台輸入的信用卡訊息、重定向網絡流量以從廣告計劃中賺錢、利用被感染的伺服器發送垃圾電郵,以及出售捕獲的憑據。而在近年加密貨幣的熱潮下,黑客又會使用憑證自動清空受害者的電子錢包。
現時仍有 11 萬部裝置受控制
專家又指出,黑客集團會通過 Vidar Stealer 偽造或盜用身份,有時甚至冒用其他網絡犯罪分子的綽號來誤導執法部門。去到 2023 年底,ESET 專家還觀察到該惡意軟件引入了新的混淆技術和新的域名生成算法(DGA),使殭屍網絡能夠躲避檢測並提高其抵御攔截的能力。
ESET 強調 Ebury 的生命力極頑強,雖然執法部門清除受感染伺服器的行動每天都在全球發生,但現時仍有約 11 萬部裝置受到控制。專家解釋,從最近 Ebury 的攻擊可見,對方傾向攻擊託管服務供應商,並對租用其虛擬伺服器的客戶實施供應鏈攻擊,以去年對方一次攻擊為例,他們成功感染了一間大型託管服務供應商,因而一口氣為殭屍大軍增兵 7 萬。由於殭屍網絡可用於發動 DDoS、賺取廣告費,因此依然是黑客最常用的攻擊之一,用家必須小心防範。
資料來源:https://www.securityweek.com/400000-linux-servers-hit-by-ebury-botnet/