恶意软件将25K Linux服务器变成垃圾邮件分发僵尸网络
由软件安全公司ESET发布的一份报告显示,一个由25,000台受到破坏的Linux服务器组成的复杂网络已成为大规模网络犯罪僵尸网络的基础,该僵尸网络每天可以发送3500万垃圾邮件,并重定向超过500,000的Web访问者以利用工具包。
由ESET称为Windigo的一系列恶意软件构成了网络犯罪基础设施的基础。一个称为Linux / Ebury的Linux后门会窃取凭据以感染其他服务器,而另一个称为Linux / Cdorked的后门会危害Web服务器并重定向流量。
ESET安全研究员Olivier Bilodeau告诉eWEEK,该程序的集合创建了一个令人印象深刻的复杂网络,该网络可以分发垃圾邮件,重定向Web流量并用恶意软件感染用户的计算机,同时将罪犯的位置隐藏在攻击背后。
他说:“整个事情真的很好地整合在一起。” “当我们试图找出谁在手术背后时,我们发现这很困难。”
报告称,在对Linux Foundation的攻击使kernel.org的400多名用户遭受攻击之后,对第一个恶意软件组件的调查始于2011年9月。来自ESET的研究人员,瑞士计算机应急响应小组CERT-Bund,瑞典国家计算基础设施以及欧洲核研究组织(CERN)与其他组织合作创建了一个工作组来研究恶意软件。
随着该组织扩大调查范围,它发现感染了越来越多的网站,从2013年2月的11,000台服务器增加到本月的26,000台。Bilodeau说,虽然受感染系统的数量比受感染的个人电脑创建的其他僵尸网络要少得多,但受感染的服务器比普通的家用计算机功能更强大。
他说,网络罪犯没有将系统用于拒绝服务攻击,这是过去服务器攻击中的一种流行策略。
Bilodeau说:“他们正在使用僵尸网络进行垃圾邮件广告并赚钱。” “尽管我们确实希望看到一些恶意软件,但我们还没有看到将恶意软件作为垃圾邮件发送的案例。”
与许多试图利用运行站点的软件中的漏洞的攻击不同,Linux / Ebury收集安全外壳(SSH)用户凭据,从而使系统管理员可以轻松地连接到他们管理的其他服务器。当用户登录到受感染的服务器或受感染的服务器上的用户登录到另一个系统时,凭据将被盗。
感染了Linux / Cornked的Web服务器用于将访问者重定向到由复杂的代理服务器网络隐藏的恶意软件下载站点。受害者最终将到达下载服务器,该服务器将尝试利用用户。
该报告称,工作组基于通用基础架构和共享代码将恶意软件难题的各个部分联系在一起。该报告称,ESET在Linux / Ebury和其他组件上发布了该报告,其目的是允许安全专业人员使用该信息来更好地防御攻击者的网络。