通过 SSH 蛮力攻击方式的 Linux 发行版 DDoS 恶意软件 已翻译 100%

FireEye 的研究人员侦测到一次攻击活动中，恶意攻击者使用了 Secure Shell (SSH) 暴力破解攻击方式来在Linux和其他类型的系统上安装了一份 DDoS 攻击恶意软件。

这个叫做 XOR.DDoS 的恶意软件, 早在9月就被恶意软件必死研究组（Malware Must Die）发现, 他们将其链接到了一个中国演员的网页。XOR.DDoS 不同于其他的 DDoS 攻击机器人，因为它使用 C/C++ 编写的，且为了攻击的持久性，它还运用了一个rootkit组件。

FireEye 于十一月中旬开始分析 XOR DDoS，当时发现有SSH暴力破解攻击其全球威胁研究网络，来自属于Hee Thai有限公司的IP地址, 这明显是一家总部设在香港的机构. 安全机构发现首个24小时时段内每台服务器有超过20000次的SSH尝试登陆.

该攻击活动的第二个阶段发生在十一月19到30日. 到了11月底，FireEye已经观察到大约15万次尝试登陆，几乎全部都来自于Hee Thai有限公司的IP地址. 第三阶段，据研究人员声称比前两个阶段更加的“混乱”，开始于12月7日，且今天仍在继续. 1月底已经发现每台服务器有将近100万次的尝试登陆发生.

在一个SSH密码被暴力破解成功的情况下，攻击者会登录到目标服务器，并执行SSH的shell命令. 他们会从目标设备处提取到内核的头文件和版本字符串，利用这些来在其复杂的构建系统上创建按需求编译的恶意软件.

一旦安装在系统之上，XOR.DDoS 恶意软件就会连接到它的命令和控制(C&C)服务器 , 从那里他就能获得一个目标的清单. 除了 DDoS 攻击, 机器人还能够下载和执行二进制文件，并且他还能够利用一个自我进化的特性来用新的变种替换其自身.

攻击的受害者所要面临的问题是，攻击者所使用的SSH命令并不会显示在日志中，FireEye 如是说.

“运行标准OpenSSH服务器的 Linux 服务器只会在日志中看到一次成功的登陆，马上跟着一次退出，此外没有其它任何动作,” FireEye 的研究者们在一片 博文 中描述道. “这是 OpenSSH 的一个常用特性, 有趣的是，它避开了Linux的日志设施. 即使对日志功能做最详细的设置，OpenSSH 服务器也不会记录远程命令的操作日志.”

安全公司说，rootkit组件，它的主要目标是隐藏指示器在内核级的破解，让其作为一个可加载的内核模块加载（LKM）。

研究人员已经发现了两个在外部的XOR.DDoS变体。这两个变体可以被x86，ARM和其他平台很好地编译。

两个恶意软件必须被消灭，俄罗斯的安全公司Dr.Web已经监控到被中国称为“ChinaZ”的恶意软件的活动。一月中旬，恶意软件必须被消灭（MalwareMustDie）就已被报告，这种威胁作用在ShellShock漏洞上，并发送给DDoS恶意软件。