Stantinko的Linux恶意软件正在冒充Apache Web服务器


已有8年历史的Stantinko僵尸网络更新了其Linux恶意软件。

Stantinko是至今仍在运行的最古老的恶意程序僵尸网络之一,它发布了Linux恶意程序的升级版本,将其木马升级为合法的Apache web server process (httpd),以便更难检测受感染的主机。

由安全公司Intezer Labs发现的这些升级,证实了尽管Stantinko僵尸网络有一段时间没有进行代码修改,但直到今天它仍在运行。

关于STANTINKO僵尸程序

Stantinko僵尸网络于2012年首次被发现。该恶意软件背后的组织开始通过将Stantinko木马作为应用程序包的一部分或通过盗版应用程序进行传播。

一开始,只有Windows用户是攻击目标,该恶意软件利用受感染的主机显示不想要的广告,或者安装隐藏的加密货币挖掘器。

随着僵尸网络规模的扩大,并开始产生更多的利润,它的代码也随着时间的推移而不断进化。2017年,斯洛伐克安全公司ESET发现Stantinko也部署了针对Linux系统的特殊版本的恶意软件,从而发现了一次相当大的升级。

这个Linux版本充当了SOCKS5代理,Stantinko将受感染的Linux系统变成节点,变成一个更大的代理网络。

每个Linux系统都将被用来对内容管理系统(CMSs)和各种基于web的系统(如数据库)发起暴力攻击。一旦侵入了这些系统,Stantinko团伙就会提升对底层服务器操作系统(Linux或Windows)的访问权限,然后部署自己的一个副本和一个加密挖矿程序,为恶意软件作者创造更多利润。

新的STANTINKO LINUX版本

但是像Stantinko这样的加密采矿僵尸网络只有一角钱,而且通常没有像勒索软件帮派或Emotet或Trickbot这样的僵尸网络那样被追踪。

Stantinko的Linux恶意软件的最新版本可以追溯到2017年,版本号为1.2。但是在今天发布并与ZDNet分享的报告中,Intezer Labs表示,三年后,他们最近发现了Stantinko的Linux恶意软件的新版本,其版本号为2.17,与以前的已知版本相比有很大的提高。

但是,尽管两个版本之间存在巨大的版本差距,但Intezer团队指出,新版本实际上比旧版本更精简,并且包含的​​功能更少,这很奇怪,因为随着时间的流逝,恶意软件会逐渐增多。

这种奇怪举动背后的一个原因是,斯坦坦科(Stantinko)犯罪团伙可能已经从其代码中删除了所有多余的内容,只保留了他们每天需要和使用的功能。这包括代理功能,该功能仍在较新的版本中提供,对于其蛮力操作至关重要。

另一个原因也可能是Stantinko犯罪团伙试图减少针对防病毒解决方案的恶意软件指纹。更少的代码行意味着更少的恶意行为要检测。

Intezer指出,Stantinko几乎成功了,因为新版本对VirusTotal聚合病毒扫描器的检出率非常低,几乎没有被发现。

冒充Apache的WEB服务器

此外,Stantinko帮派似乎已在此较新版本中隐身,因为他们还修改了Linux恶意软件使用的进程名称,选择使用 httpd,该名称通常由更著名的Apache Web服务器使用。

显然,这样做是为了防止服务器所有者在常规的目视检查中发现恶意软件,因为许多Web发行版中默认都默认包含Apache Web服务器,并且此过程通常在Stantinko通常感染的Linux系统上运行。

无论哪种方式,Linux系统管理员都必须认识到,随着Linux操作系统在当今企业环境中的日益普及,越来越多的恶意软件操作将针对Linux,并且许多帮派也将利用多年开发Windows恶意软件带来的所有专业知识和技巧。 。

Linux服务器所有者需要知道的是,尽管Linux是安全的操作系统,但由于配置错误,恶意软件经常潜入系统内部。在Stantinko的情况下,此僵尸网络追随使用弱密码访问其数据库和CMS的服务器管理员。

实际上,这就是所有恶意软件的运行方式,与操作系统无关。

恶意软件很少利用操作系统级别的漏洞来巩固系统地位。在大多数情况下,恶意软件帮派通常关注:

  • 应用配置错误导致开放的端口或管理面板在线暴露;
  • 没有安全补丁的过时应用;
  • 使用弱密码进行互联网服务的系统/应用;
  • 诱使用户采取危险措施(社会工程学);
  • 或利用在操作系统顶部运行的应用程序中的错误。

Linux OS本身的漏洞利用很少,通常是在恶意软件已经通过上述方法之一获得对系统的访问权限之后。

这些利用作为第二阶段的有效负载,通常被用来提升特权从低级到管理帐户,这样恶意软件就可以完全控制被攻击的系统。这就是为什么即使Linux(或其他操作系统)不是直接针对的目标,一旦攻击者在受感染的主机上站稳脚跟,它仍然需要运行最新版本来防止这些从用户到根用户的提升。

保护系统不受攻击很容易,因为大多数系统管理员需要让应用程序保持最新,并使用强密码。然而,这总是一项艰巨的工作,因为在大多数情况下,公司同时运行成百上千个系统,攻击者只需要找到一个薄弱环节就可以进入。

Top