Video: t515 Hunting Malware on Linux Production Servers The Windigo Backstory Olivier Bilodeau (Oktober 2024)
Angribere inficerede og greb kontrol over over 25.000 Unix-servere for at skabe en massiv platform for spam og malware, sagde ESET. Linux- og Unix-administratorer skal straks kontrollere, om deres servere er blandt ofrene.
Banden bag angrebskampagnen bruger de inficerede servere til at stjæle legitimationsoplysninger, distribuere spam og malware og omdirigere brugere til ondsindede websteder. De inficerede servere sender 35 millioner spam-meddelelser hver dag og omdirigerer en halv million webbesøgere til ondsindede websteder dagligt, sagde Pierre-Marc Bureau, en manager for sikkerhedsintelligensprogram hos ESET. Forskerne mener, at kampagnen, der kaldes Operation Windigo, har kapret over 25.000 servere i de sidste to og et halvt år. Gruppen har i øjeblikket 10.000 servere under deres kontrol, siger Bureau.
ESET frigav et teknisk papir med flere detaljer om kampagnen og inkluderede en simpel ssh-kommando, som administratorer kan bruge til at finde ud af, om deres servere er blevet kapret. Hvis dette sker, skal administratorer geninstallere operativsystemet på den inficerede server og ændre alle legitimationsoplysninger, der nogensinde er brugt til at logge ind på maskinen. Da Windigo høstede legitimationsoplysninger, bør administratorer antage, at alle adgangskoder og private OpenSSH-nøgler, der bruges på den maskine, er kompromitteret og bør ændres, advarede ESET. Anbefalingerne gælder både for Unix og Linux-administratorer.
At tørre af maskinen og geninstallere operativsystemet fra bunden lyder måske lidt ekstremt, men i betragtning af, at angriberen havde stjålet administratoroplysninger, installeret bagdøre og havde fået fjernadgang til serverne, synes det at være den nukleare mulighed.
Angreb elementer
Windigo er afhængig af en cocktail af sofistikeret malware for at kapre og inficere serverne, inklusive Linux / Ebury, en OpenSSH-bagdør og legitimationsstealer samt fem andre stykker malware. I løbet af en enkelt weekend observerede ESET-forskere mere end 1, 1 millioner forskellige IP-adresser, der passerede gennem Windigos infrastruktur, før de blev omdirigeret til ondsindede websteder.
Websteder kompromitteret af Windigo igen inficerede Windows-brugere med et udnyttelsessæt, der skubber kliksvig og spam-sendende malware, viste tvivlsomme s for datingsider til Mac-brugere og omdirigerede iPhone-brugere til online pornosider. Kendte organisationer som cPanel og kernel.org var blandt ofrene, selvom de har renset deres systemer, siger Bureau.
Operativsystemer, der er berørt af spamkomponenten, inkluderer Linux, FreeBSD, OpenBSD, OS X og endda Windows, siger Bureau.
Rogue servere
I betragtning af at tre ud af fem af verdens websteder kører på Linux-servere, har Windigo masser af mulige ofre at lege med. Bagdøren, der bruges til at kompromittere serverne, blev installeret manuelt og udnytter dårlig konfigurations- og sikkerhedskontrol, ikke softwaresårbarheder i operativsystemet, sagde ESET.
"Dette antal er betydningsfulde, hvis du overvejer, at hvert af disse systemer har adgang til betydelig båndbredde, opbevaring, computerkraft og hukommelse, " sagde Bureau.
En håndfuld malware-inficerede servere kan forårsage meget mere skade end et stort botnet af almindelige computere. Servere har generelt bedre hardware og behandlingskraft og har hurtigere netværksforbindelser end slutbrugercomputere. Husk, at det kraftige distribuerede angreb på benægtelse af tjenester mod forskellige bankwebsteder sidste år stammede fra inficerede webservere i datacentre. Hvis teamet bag Windigo nogensinde skifter taktik fra bare at bruge infrastrukturen til at sprede spam og malware til noget, der er endnu nemmere, kan den resulterende skade være betydelig.
