图片来源:wk1003mike Shutterstockcom
ELF/SshdinjectorA!tr 是一组恶意软件,能够被注入到安全外壳守护进程sshd程序中,该程序支持在不可信的主机之间进行加密通信。这使得攻击者可以在用户不知情的情况下执行多种操作。Fortinet尚未透露这些设备最初是如何被攻破的。
该攻击使用含有有害代码的多个二进制文件。初始的“投放者”会检查设备是否已经被感染,它会寻找一个特定的文件 /bin/lsxxxssswwdd11vv,该文件包含“WATERDROP”这个词,并检查设备是否具有根权限最高级别的访问权限。
如果设备尚未被感染,恶意软件将投放几个恶意二进制文件,包括一个与远程机器人主控或命令与控制C2服务器通信的 SSH 库。C2 服务器指示恶意软件收集信息、监控进程、窃取凭证和执行远程命令。
此外,还有几个其他的二进制文件确保宿主系统持续感染这称为恶意软件持久性,即能够在程序、浏览器或计算机关闭后仍然存在。
机器人主控能够执行15个命令:
命令描述收集地址和用户名并进行窃取从被感染系统中提取信息列出运行的服务分析 /etc/initd 目录中的文件读取敏感用户数据从文本格式的密码文件 /etc/shadow 中读取信息列出现有进程确认当前运行的进程测试系统日志的权限确认对系统日志的访问测试访问敏感数据的权限确认对敏感数据的访问列出目录内容显示文件目录的信息上传或下载文件管理文件的转移打开远程命令行终端获得完整的命令行访问执行攻击者的命令进行远程操作从设备内存中删除和退出恶意进程清除恶意软件的存在删除文件从设备中清除特定文件重命名文件修改文件名称通知攻击者恶意软件处于活动状态发送活动状态信息发送被窃取的数据将收集的信息传回在其创作者调侃的幽默中,恶意代码中包括一些名为“haha”、“heihei”和“xixi”的函数在中文中都是笑声的意思。
Chinese Evasive Panda 自2012年以来一直活跃,可以称得上是一个长久的间谍组织,曾经参与多起攻击事件,最近一次就是针对一个在中国具有显著存在感的大型未公开美国组织的长达四个月的操作。
海外npv加速器该组织的 ELF/SshdinjectorA!tr 恶意软件通常用于建立远程访问连接、捕获键盘输入、收集系统信息、下载和上传文件、投放恶意软件、
