GoScanSSH Malware inte infektera regering och militära nätverk

Computer Security News

Cisco Talos säkerhetsexperter hittade en helt ny bit av malware som kallas GoScanSSH. Enligt experterna användes det nya hotet att angripa SSH-servrar utsatt online.

GoScanSSH malware skrevs i Go programmeringsspråk, vilket är ganska ovanligt för malware utveckling, och den har mycket intressanta funktioner. Bland dessa är det faktum att malware undviker infekterar enheter på regering och militära nätverk.

”Talos identifierat en ny malware familj som användes att angripa SSH-servrar som utsätts för internet. Detta malware, som vi har döpt till GoScanSSH, är skriven med hjälp av Go programmeringsspråk och uppvisade flera intressanta egenskaper ”. analys Publicerad av Talos stater.

Enligt forskarna malware utvecklare har skapat unika malware binärer för varje infekterade system och att kommandot GoScanSSH och kontroll (C2) infrastruktur var att utnyttja tjänsten Tor2Web proxy gör hårt spårning av C & C infrastruktur och motståndskraftig mot nedtagningar.

GoScanSSH malware genomförde brute-force attack mot publika SSH-servrar så att lösenordsbaserad SSH autentisering.

Ordlistan som angriparna använda innehåller mer än 7.000 username/ lösenordskombinationer. När malware upptäckt en certifikatsökvägen uppsättning, en unik GoScanSSH malware binär är att skapas och laddas upp till komprometterad SSH-servern som utförs efter att.

Under skanningsprocessen för sårbara SSH-servrar genererar GoScanSSH malware slumpmässigt IP-adresser, undvika special-adresser. Efter det jämför hotet varje IP-adress till en lista över CIDR block som skadlig kod inte försöker skanna på grund av att de är regering och militära nätverksintervall.

Enligt forskarna, GoScanSSH är utvecklat för att undvika spänner som tilldelas till US Department of Defense, och endast en av nätverksintervall tilldelas till en organisation i Sydkorea.

Säkerhetsexperter registrerat mer än 70 unika malware prover kopplade till familjen GoScanSSH malware, och några av proverna sammanställdes för att stödja flera systemarkitekturer inklusive x86, x86_64, ARM och MIPS64.

Det fanns också flera versioner (e.g, versioner 1.2.2 1.2.4, 1.3.0, etc.) av hotet, vilket tyder på att hackarna bakom GoScanSSH fortsätta förbättra den skadliga koden.

Experter hävdar att angriparna är väl finansierat och med betydande kompetens och de kommer förmodligen att försöka angripa större nätverk.

Skaparna av GoScanSSH har varit aktiva sedan juni 2017 och sedan dess, de har distribuerat 70 olika malware versioner med över 250 olika C & C servrar.

Den passiva analys av DNS-data relaterade till alla C2 domäner som samlats in från alla analyserade prover bekräftade att antalet infekterade system är för närvarande låg.

”I analysera passiva DNS-data som är relaterade till alla C2 domäner som samlats in från alla prover Talos analyseras, resolution försök sågs anor från 19 juni 2017, vilket indikerar att denna attack kampanj har pågått under minst nio månader. Dessutom C2 domänen med det största antalet resolution begär hade setts 8,579 gånger ”. Talos analysen läser.


Leave a Reply

Your email address will not be published. Required fields are marked *