Stantinko是目前仍在运行的最古老的恶意软件僵尸网络之一,它已经推出了对其Linux恶意软件类别的更新,将其特洛伊木马升级为合法的Apache web server进程(httpd),以便在受感染主机上更难检测。
升级,被安全公司发现Intezer实验室确认,尽管代码更改有一段时间不活动,但Stantinko僵尸网络甚至在今天仍继续运行。
Stantinko僵尸网络首次被检测到是在2012年。该恶意软件的幕后黑手通过将Stantinko特洛伊木马程序作为应用程序捆绑包的一部分或通过盗版应用程序开始运作,随着恶意软件利用受感染主机显示不需要的广告或安装隐藏的加密货币矿工。
随着僵尸网络规模的扩大和利润的增加,其代码也在数年内不断演变。2017年发现了一个相当大的更新[请参见PDF报告]斯洛伐克安全公司ESET发现Stantinko也在部署其恶意软件的特殊版本对于Linux系统。
此Linux版本充当SOCKS5代理,Stantinko将受感染的Linux系统变成一个更大的代理网络。
这些Linux系统中的每一个都将被用来对内容管理系统(CMS)和各种基于web的系统(如数据库)发动暴力攻击。一旦这些系统受到威胁,Stantinko帮派就会提升对底层服务器操作系统(Linux或Windows)的访问权限,然后部署自己的副本和加密矿工,为恶意软件作者创造更多利润。
但像Stantinko这样的加密挖掘僵尸网络可谓数不胜数,而且,他们通常不会像勒索软件帮派或像Emotet或Trickbot这样的僵尸网络那样受到追踪。
Stantinko的Linux恶意软件最新版本是在2017年被发现的,版本号为1.2。但在今天发布并与ZDNet分享的一份报告中,Intezer实验室表示,三年后,他们最近发现了Stantinko Linux恶意软件的一个新版本,其版本号为2.17,与之前已知的版本相比有很大的飞跃。
然而,尽管两个版本之间存在巨大的版本差距,Intezer团队指出新版本实际上比旧版本更精简,包含的功能更少,这很奇怪,因为随着时间的推移,恶意软件往往会大量增加。
这一奇怪举动背后的一个原因是,Stantinko gang可能已经从代码中删除了所有的垃圾,只留下了他们每天需要和使用的功能。这包括代理功能,在新版本中仍然存在,对其暴力强制操作至关重要。
另一个原因可能是Stantinko帮派试图减少恶意软件对防病毒解决方案的指纹。更少的代码行意味着更少的恶意行为被检测。
而Intezer注意到Stantinko几乎成功了,因为新版本的VirusTotal聚合病毒扫描程序的检测率非常低,几乎没有被发现。
此外,Stantinko帮派似乎已经有了先机因为他们还修改了Linux恶意软件使用的进程名,选择了更著名的Apache web服务器通常使用的名称httpd,由于Apache web服务器通常默认包含在许多Linux发行版中,而且此进程通常运行在Stantinko通常会感染的Linux系统上。
无论哪种方式,Linux系统管理员都需要意识到,随着Linux操作系统在企业环境中越来越广泛,将开始越来越多的恶意软件操作以Linux为目标,许多帮派也会利用多年来开发Windows恶意软件的专业知识和诡计。
Linux服务器所有者需要知道的是,尽管Linux是一个安全的操作系统,但由于配置错误,恶意软件通常会深入系统内部。在Stantinko的例子中,这个僵尸网络攻击那些对数据库和CMS使用弱密码的服务器管理员。
事实上,这就是所有恶意软件的运作方式,而不管操作系统如何。
恶意软件很少利用操作系统级漏洞来在系统上站稳脚跟。在大多数情况下,恶意软件团伙通常集中在以下几个方面:
在Linux操作系统中很少使用漏洞攻击,通常是在恶意软件通过上述方法之一访问系统之后。
这些漏洞利用被用作第二阶段有效负载,通常用于提升低级到管理员帐户,因此恶意软件可以完全控制被攻击的系统。这就是为什么,即使Linux(或其他操作系统)不是直接针对的,它仍然需要运行最新版本,以防止攻击者在受感染主机上站稳脚跟后,这些用户到根的提升。
保护系统免受攻击很容易,因为大多数系统管理员需要保持应用程序的最新状态并使用强密码。然而,这总是一项艰巨的工作,因为在大多数情况下,公司同时运行数百或数千个系统,攻击者只需找到一个薄弱环节即可进入。
