GoScanSSH шкідливих програм не заразити уряду і військові мереж

Computer Security News

Cisco Talos безпеки експерти знайшли новий шматок зловмисне програмне забезпечення під назвою GoScanSSH. На думку експертів нові загрози був використаний на компроміс SSH-серверів піддається онлайн.

GoScanSSH шкідливих програм була написана на мові програмування Go, який є досить рідкісної для шкідливих програм розвитку, і має дуже цікавих особливостей. Серед них є той факт, що шкідливі програми дозволяє уникнути зараження пристроями уряд і військових мереж.

“Talos визначені нових шкідливих програм сім’ї, який використовувався на компроміс SSH-серверів, доступні з Інтернету. Цей шкідливих програм, які ми назвали GoScanSSH, був написаний з використанням мови програмування Go і виставлені кілька цікавих характеристики.” аналіз опубліковані Talos державами.

На думку дослідників, шкідливих програм розробник створила унікальний зловмисного програмного забезпечення двійкові файли для кожного заражений система і що GoScanSSH командування і управління (С2) інфраструктури був використанню Tor2Web проксі-сервіс, що робить жорсткий відстеження C & C інфраструктура та стійкими до видалення зображень.

GoScanSSH шкідливих програм проводяться грубої сили атаки проти загальнодоступною SSH-серверів, дозволяючи пароль SSH-автентифікація.

Список слів, які зловмисники використовують містить більш ніж 7000 username/ комбінацій пароля. Після того, як шкідливі програми виявив набір дійсними обліковими даними, унікальний двійковий файл GoScanSSH шкідливих програм в даний час створені і завантажені під загрозу SSH сервер буде виконуватися після цього.

У процесі сканування для вразливих SSH-серверів GoScanSSH шкідливих програм формує випадковим чином IP-адрес, уникаючи використання спеціальної адреси. Після цього загроза порівнює кожного IP-адресу до списку CIDR блоків, які шкідливі програми не буде намагатися сканування з тим, що вони є уряду і військові мережі діапазонів.

Відповідно до дослідників GoScanSSH розроблена, щоб уникнути діапазонів, які присвоєні до Міністерства оборони США, і єдиний діапазонів мережі призначається для організації в Південній Кореї.

Експерти безпеки зареєстровано більше 70 шкідливих програмних зразки, пов’язаних з родиною GoScanSSH шкідливих програм, а деякі зразки були зібрані на підтримку декількох архітектур системи, включаючи x86, x86_64, РУКУ і MIPS64.

Були також кілька версій (наприклад, версії 1.2.2, 1.2.4, 1.3.0, т. д.) загрози, припускаючи, що хакери позаду GoScanSSH продовжувати поліпшувати шкідливий код.

Експерти стверджують, що нападники є добре забезпечені і з значні навички і вони будуть ймовірно, спробує компроміс великих мереж.

Творці GoScanSSH були активні, починаючи з червня 2017 року і з того часу, вони розгорнули 70 різних шкідливих програм версії за допомогою команд понад 250 різних C & C серверів.

Пасивний аналізу даних DNS, що відносяться до всіх доменів C2, зібрані від всіх аналізований зразків підтвердив, що кількість заражених систем в даний час низький.

“Числові формати пасивний DNS, що відносяться до всіх доменів C2, зібрані від всіх зразків Talos проаналізовані, резолюція спроби були свідками починаючи з 19 червня 2017, із зазначенням, що ця атака кампанія була поточні протягом щонайменше дев’ять місяців. Крім того, з найбільшою кількістю резолюції, домен C2 запитів бачив 8,579 разів.” Talos аналіз читає.


Leave a Reply

Your email address will not be published. Required fields are marked *