-
-
新的Linux后门隐藏通信协议
-
发表于:
2013-11-20 14:22
720
-
新闻链接:
092K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3x3e0M7&6x3o6m8Q4x3X3g2Z5N6r3#2D9
新闻时间:2013-11-20
新闻正文:
日前,赛门铁克发布博客称,在五月的一次安全事件中,发现一名黑客入侵了一个大型物联网托管服务商,并且在内部管理系统上使用了一个有意思的Linux后门 – Fokirtor。
经过赛门铁克研究发现,该后门能够伪装它的通信流量,并伪装成正常的SSH通信流量。该后门支持攻击者运行常用的功能,如执行远程命令、反向链接到C&C服务器,Fokirtor能够监控SSH网络流量,如果检测到流量中存在冒号、感叹号、分号、句号(“:!;.”),一旦检测到流量存在这些字符,Fokirtor代码能够解析除这些字符之外的流量,然后提取经过Blowfish和Base64加密的命令。
当服务器感染该后门后,它从机器上收集以下信息:
1、主机名和IP地址
2、端口
3、密码
4、SSH密钥
5、用户名
收集之后对信息进行加密,并发送到攻击者的C&C服务器。
赛门铁克分析师表示,要识别网络中是否存在该后门,可以看流量中是否包含了感叹号字符,正常的SSH流量中是不会包含感叹号的。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
