ขณะวิเคราะห์บ็อตเน็ต นักวิจัยด้านความปลอดภัยพบแบ็คดอร์ประมาณ 20 รายการที่ใช้ OpenSSH ซึ่งเป็นคลังแสงที่จนถึงขณะนี้ยังแอบแฝงอยู่ใต้เรดาร์
แม้ว่า Windows ยังคงเป็นเป้าหมายหลักของแฮกเกอร์ แต่นั่นไม่ได้หมายความว่าระบบปฏิบัติการอื่นจะไม่ตกเป็นเหยื่อของมัลแวร์เช่นกัน เป็นเช่นนั้น แต่ในระดับที่น้อยกว่า ซึ่งเป็นเหตุผลว่าทำไมปรากฏการณ์นี้จึงมักไม่มีใครสังเกตเห็น
แต่เมื่อคุณมุ่งเน้นไปที่ระบบใดระบบหนึ่งเหล่านี้ คุณจะค้นพบบางสิ่งบางอย่างได้อย่างรวดเร็ว นี่คือสิ่งที่เกิดขึ้นเพื่อนักวิจัยด้านความปลอดภัยของ Eset- ด้วยการวิเคราะห์กลไกของบ็อตเน็ต Windigo พวกเขาค้นพบการมีอยู่ของแบ็คดอร์จำนวนมหาศาล ซึ่งจนถึงขณะนี้ได้หลุดพ้นจากความสนใจของผู้เชี่ยวชาญด้านความปลอดภัยแล้ว
ที่จริงแล้ว เพื่อให้สามารถคงอยู่บนเครื่อง Linux ที่ติดไวรัสได้อย่างต่อเนื่อง บ็อตเน็ต Windigo จึงมีแบ็คดอร์ที่เรียกว่า Ebury ซึ่งไม่ใช่อะไรอื่นนอกจาก OpenSSH เวอร์ชันที่เป็นอันตราย ซึ่งเป็นซอฟต์แวร์เชื่อมต่อระยะไกลที่ใช้กันทั่วไป
แต่ก่อนที่จะติดตั้ง Ebury บนเครื่อง Windigo จะรันสคริปต์ที่จะตรวจสอบว่าไม่มีคู่แข่งอยู่ในตำแหน่งนั้นหรือไม่ โดยการตรวจสอบลายเซ็นลับๆ ประมาณสี่สิบลายเซ็นตาม OpenSSH“เราตระหนักได้อย่างรวดเร็วว่าเราไม่มีสำเนามัลแวร์ที่ตรงกับลายเซ็นเหล่านี้ แฮกเกอร์สามารถมองเห็นแบ็คดอร์ SSH ที่ใช้ในชีวิตจริงได้ดีกว่าที่เราทำ”, Marc-Etienne M.Léveillé นักวิจัยจาก Eset อธิบาย
จากนั้นเขาและเพื่อนร่วมงานก็ใช้ลายเซ็นทั้งสี่สิบนี้ และใช้เวลาสามปีในการค้นหาสำเนาจากคลังเก็บมัลแวร์ ในท้ายที่สุด พวกเขาพบเพียงไม่กี่ร้อยตัวที่สามารถจัดหมวดหมู่เป็น 21 ตระกูลที่แตกต่างกันได้
แบ็คดอร์เหล่านี้ทั้งหมดอาศัย OpenSSH และมีแฮกเกอร์ใช้งานอยู่ บางส่วนค่อนข้างง่ายและอนุญาตให้ดำเนินการตามคำสั่งเท่านั้น คุณสมบัติอื่นๆ นั้นซับซ้อนกว่ามากและมีคุณสมบัติเพิ่มเติมมากมาย: การขโมยรหัสผ่าน เทคนิคการกรอง การขุดสกุลเงินดิจิทัล การทำให้โค้ดสับสน ฯลฯ
นักวิจัยได้ตีพิมพ์กกระดาษสีขาวซึ่งมีการวิเคราะห์ตระกูลมัลแวร์ต่างๆ อย่างละเอียด ตอนนี้จำเป็นต้องอ่านสำหรับผู้ดูแลระบบที่รอบคอบซึ่งต้องการให้แน่ใจว่าเซิร์ฟเวอร์ Linux จะไม่ถูกบุกรุก
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
