GoScanSSH Malware tidak menginfeksi jaringan militer dan pemerintah

Computer Security News

Pakar keamanan Cisco Talos menemukan sepotong baru malware yang disebut GoScanSSH. Menurut para ahli, ancaman baru yang digunakan untuk kompromi server SSH terbuka online.

Malware GoScanSSH ini ditulis dalam bahasa pemrograman Go, yang agak biasa bagi pengembangan perangkat lunak jahat, dan memiliki fitur yang sangat menarik. Di antaranya adalah kenyataan bahwa malware menghindari menginfeksi perangkat pada jaringan militer dan pemerintah.

“Talos diidentifikasi keluarga malware baru yang digunakan untuk kompromi SSH Server melalui internet. Malware ini, yang kami telah bernama GoScanSSH, ditulis menggunakan bahasa pemrograman pergi, dan dipamerkan beberapa karakteristik menarik.” analisis diterbitkan oleh Talos Serikat.

Menurut peneliti, pengembang perangkat lunak jahat telah menciptakan unik malware binari untuk masing-masing terinfeksi sistem dan bahwa perintah GoScanSSH dan infrastruktur kontrol (C2) adalah memanfaatkan layanan proxy Tor2Web membuat sulit pelacakan C & C infrastruktur dan tahan terhadap takedowns.

Malware GoScanSSH dilakukan brutal menyerang server SSH dapat diakses publik yang mengizinkan otentikasi SSH berbasis sandi.

Daftar kata yang para penyerang menggunakan berisi lebih dari 7.000 username/ kombinasi password. Setelah malware ditemukan satu set credential yang valid, biner malware GoScanSSH unik sedang dibuat dan upload ke server SSH dikompromikan akan dieksekusi setelah itu.

Selama proses pemindaian untuk server SSH rentan, malware GoScanSSH secara acak menghasilkan alamat IP, menghindari alamat khusus digunakan. Setelah itu, ancaman membandingkan setiap alamat IP ke daftar CIDR blok yang malware tidak akan berusaha untuk memindai karena fakta bahwa mereka adalah pemerintah dan rentang jaringan militer.

Menurut para peneliti, GoScanSSH dikembangkan untuk menghindari rentang yang ditugaskan untuk Departemen Pertahanan AS, dan satu-satunya jaringan Ranges ditugaskan untuk sebuah organisasi di Korea Selatan.

Pakar keamanan terdaftar lebih dari 70 contoh malware unik yang terkait dengan keluarga malware GoScanSSH, dan beberapa sampel disusun untuk mendukung beberapa arsitektur sistem termasuk x86, x86_64, lengan dan MIPS64.

Ada juga beberapa versi (misalnya, versi 1.2.2, 1.2.4, 1.3.0, dll) dari ancaman, menyarankan bahwa para hacker di belakang GoScanSSH terus meningkatkan kode berbahaya.

Para ahli mengklaim bahwa para penyerang juga sumber daya dan dengan signifikan keterampilan dan mereka mungkin akan mencoba untuk kompromi jaringan yang lebih besar.

Pencipta GoScanSSH telah aktif sejak Juni 2017 dan sejak itu, mereka telah dikerahkan 70 versi berbeda malware yang menggunakan lebih dari 250 berbeda C & C server.

Analisis data DNS pasif yang terkait ke semua domain C2 dikumpulkan dari semua sampel dianalisis mengkonfirmasi bahwa jumlah sistem yang terjangkiti saat ini rendah.

“Dalam menganalisis pasif data DNS yang terkait dengan semua domain C2 dikumpulkan dari semua sampel Talos dianalisis, resolusi upaya dipandang dating kembali ke Juni 19, 2017, menunjukkan bahwa kampanye serangan ini telah berlangsung selama setidaknya sembilan bulan. Selain itu, C2 domain dengan jumlah terbesar resolusi permintaan telah telah dilihat 8,579 kali.” Analisis Talos membaca.


Leave a Reply

Your email address will not be published. Required fields are marked *