安全公司ESET發現名為Linux/Rakos的木馬程式,會透過SSH埠入侵嵌入式裝置或Linux伺服器,藉此建立殭屍網路。

ESET研究人員發現,和去年的Linux/Moose手法類似,Linux/Rakos是利用暴力破解法來破解SSH登入驗證。它一開始會從小量IP清單進行掃瞄,看看是否有採用弱密碼保護的裝置,一旦發現即會加以感染、收編為殭屍系統,進而逐步擴散,最終建立成廣大的殭屍網路。

Linux/Rakos主要鎖定SSH傳輸埠開啟的嵌入式物聯網裝置及伺服器。研究人員指出,通報的受害用戶雖然曾經對系統設定強密碼,但是他們忘了這些裝置開啟了線上服務,會在回覆出廠設定時也回覆為一般較簡單的預設密碼。只要連網幾小時,這些機器就可能遭到入侵。

Linux/Rakos是以Go語言寫成,它會以YAML格式下載組態檔,當中包含C&C伺服器、用於暴力破解裝置的憑證及內部參數。一旦安裝於受害裝置,Linux/Rakos就會啟用本機HTTP伺服器服務,以便未來版本可以刪掉任何執行個體(instance),也可從URL查詢中解析出參數。它還會建立可聽取所有介面的Web server,並回傳關於裝置的資訊,如IP位址。

研究人員目前沒有發現明顯的惡意活動,像是DDoS攻擊或散佈垃圾郵件,但表示,這隻木馬將裝的IP位址、使用者名稱及密碼傳送到外部,可讓攻擊者未來為所欲為,加上其使用的危險程式碼,研究人員相信這不太可能只是無害的實驗或學術作品。

所幸只要系統重新開機就能破壞Linux/Rakos的活動。不過研究人員建議伺服器或裝置管理員仍應留心,在系統回覆出廠設定時需記得強化SSH憑證及登入驗證資訊,像是伺服器IP、用戶名稱及密碼等。


Advertisement

更多 iThome相關內容