攻防最前线：研究人员发现12个新型OpenSSH带后门版本

ESET 公司的研究人员发现了 12 个新的 OpenSSH 后门家族。

SSH 网络协议允许远程连接计算机和设备。OpenSSH 便携版本几乎在所有 Linux 发行版本中实现，而寻求在受攻陷 Linux 服务器中维持持久性的攻击者通常会在已安装的 OpenSSH 服务器和客户端开后门。

ESET 公司认为，由于 OpenSSH 代码可免费获取，因此攻击者很容易构建后门版本。另外，OpenSSH 允许攻击者不受检测，加上 OpenSSH 守护进程和客户端能够看到明文形式的密码，这些都有助于攻击者窃取凭证。

在一次捕获在野 OpenSSH 后门活动（由 Windigo Operation 在四年前运营）时，ESET 研究人员发现了21种不同的 OpenSSH 恶意软件家族，其中12种此前并未出现过。

这些后门实现在被盗 SSH 凭证的复杂度和渗透技巧方面具有创新性。网络犯罪分子和威胁者都使用具有类似功能和复杂度不同的 OpenSSH 后门。

研究人员发现分析的恶意软件样本表现出很多相似之处，原因是都是对原始便携 OpenSSH 源代码修改和反编译的结果。这些作者从来都是修改某些关键功能。

在所发现的样本中，没有一个使用了复杂的混淆方法，多数记录的是用户提供的密码，而且几乎所有的样本都将凭证拷贝到本地文件。然而，几近一半的后门家族中确实还包含推送凭证的方法，而且某些家族还通过邮件渗透凭证。

除了凭证渗透外，恶意软件操纵人员还寻找能够轻易连接回被攻陷机器的方法，而他们通常使用硬编码密码达到这一目的。恶意软件作者还尝试木马化的 OpenSSH 守护进程功能，阻止根登录、擦除在系统上留下的痕迹并绕过记录功能。

和其它恶意活动的关联

在所分析的后门中，研究人员发现了四个后门执行了引人注目的功能，包括 Chandrila（可通过 SSH 密码接收命令）、Bonadan（密币挖掘）和 Kessel（包括僵尸功能）。第四个后门是 Kamino，它和2013年出现的 DarkLeech 有关，但它是在数年后由 Carbanak 团伙使用后才为人所知。这说明攻击者的注意力从大规模传播的恶意软件转移到针对性攻击。

ESET 公司表示，“由于这两种攻击的动力都是经济利益，因此完全解释的通。另外，鉴于 DarkLeech 是在 Carbanak 于2014年被发现不久前消失的，因此可以认为这两种攻击都出自同一个组织。”

然而，研究人员还指出，这些组织可能指使同样的人处理 Linux 服务器，他们可能从地下市场购买后门，或者不同的组织使用了这两种恶意软件家族（DarkLeech 也在暗网上出售）。

在调查过程中，研究人员发现 Mimban后门仍然活跃而且其操纵人员将手动登录到受攻陷机器。Borleias 操纵人员使用 Tor 登录而且也拥有 Mimban 凭证，说明他们之间存在关联。

研究人员表示，“研究中使用的原始数据基本都是恶意软件样本，缺少上下文信息。因此很难判断用于在系统中安装这些 OpenSSH 后门的感染向量。我们能知道的就是所有分析的后门都包含凭证窃取功能。这表明他们可能使用被盗凭证进行传播。”

ESET 公司发布的报告中还包含对调查中所涉及的21个OpenSSH 后门家族的详细分析情况。

本文由360代码卫士翻译自 SecurityWeek

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。