Ques/Help/Req ShellBot использует шестнадцатеричные IP-адреса для атак на SSH-серверы Linux

[XakeR]

Специалисты AhnLab Security Emergency response Center (ASEC) заметили, что в ходе атак на плохо защищенные SSH-серверы Linux и развертывания малвари для DDoS-атак, хакеры, стоящие за вредоносом ShellBot, стали преобразовывать IP-адреса в шестнадцатеричные строки, чтобы избежать обнаружения.

Как правило, ShellBot (он же PerlBot) атакует серверы со слабо защищенными SSH-аккаунтами при помощи брутфорса и словарных атак, а затем вредоносная программа используется для организации DDoS-атак и распространения криптовалютных майнеров. Эта давно известная малварь написана на Perl и использует протокол IRC для связи с управляющим сервером.

«В целом процесс атаки остался прежним, но URL-адрес, используемый злоумышленниками для загрузки и установки ShellBot, изменился с обычного IP-адреса на шестнадцатеричное значение», — пишут исследователи.

Так, в недавней серии атак с использованием ShellBot IP-адреса имели формат hxxp://0x2763da4e/, что соответствует 39.99.218[.]78. Аналитики ASEC говорят, что таким образом злоумышленники обходят сигнатуры обнаружения, работающие на основе URL.

«Благодаря использованию для загрузки curl и его способности поддерживать шестнадцатеричную систему, подобно браузерам, ShellBot может быть успешно загружен в среду Linux и выполнен посредством Perl», — гласит отчет ASEC.

Поскольку ShellBot может использоваться для установки дополнительной малвари и запуска различных типов атак со взломанного сервера, эксперты напоминают пользователям о необходимости применения надежных паролей, которые нужно периодически менять их, чтобы противостоять словарным и брутфорс-атакам.