Специалисты AhnLab Security Emergency response Center (ASEC) заметили, что в ходе атак на плохо защищенные SSH-серверы Linux и развертывания малвари для DDoS-атак, хакеры, стоящие за вредоносом ShellBot, стали преобразовывать IP-адреса в шестнадцатеричные строки, чтобы избежать обнаружения.
Как правило, ShellBot (он же PerlBot) атакует серверы со слабо защищенными SSH-аккаунтами при помощи брутфорса и словарных атак, а затем вредоносная программа используется для организации DDoS-атак и распространения криптовалютных майнеров. Эта давно известная малварь написана на Perl и использует протокол IRC для связи с управляющим сервером.
«В целом процесс атаки остался прежним, но URL-адрес, используемый злоумышленниками для загрузки и установки ShellBot, изменился с обычного IP-адреса на шестнадцатеричное значение», — пишут исследователи.
Так, в недавней серии атак с использованием ShellBot IP-адреса имели формат hxxp://0x2763da4e/, что соответствует 39.99.218[.]78. Аналитики ASEC говорят, что таким образом злоумышленники обходят сигнатуры обнаружения, работающие на основе URL.
«Благодаря использованию для загрузки curl и его способности поддерживать шестнадцатеричную систему, подобно браузерам, ShellBot может быть успешно загружен в среду Linux и выполнен посредством Perl», — гласит отчет ASEC.
Поскольку ShellBot может использоваться для установки дополнительной малвари и запуска различных типов атак со взломанного сервера, эксперты напоминают пользователям о необходимости применения надежных паролей, которые нужно периодически менять их, чтобы противостоять словарным и брутфорс-атакам.
