攻擊背景
AhnLab 安全情報中心(ASEC)近期揭露了一波涉及 SVF Botnet 的惡意活動。這款輕量級但功能強大的 Python 惡意軟體通過已被攻陷的 Linux SSH 伺服器發起分散式阻斷服務(DDoS)攻擊,強調了互聯網基礎設施中弱預設 SSH 憑證的濫用。
感染策略:快速自動化
攻擊者通過暴力破解 SSH 憑證侵入 Linux 蜜罐伺服器。一旦獲取訪問權限,即可通過以下單行命令執行感染鏈:
- 創建 Python 虛擬環境
- 安裝所需套件:discord.py、requests、aiohttp、lxml
- 從公共 URL 下載惡意載荷
- 執行並將感染伺服器註冊到指定群組
惡意軟體隨後使用硬編碼的 Discord 機器人 token 驗證,並通過 webhook 報告,實際上將 Discord 作為其命令與控制(C2)基礎設施。
SVF Bot 的功能
SVF Bot 支持多種 DDoS 向量,包括:
- 第七層(HTTP Flood)
- 第四層(UDP Flood)
操作員可以通過可配置參數(如併發性、線程數和封包大小)控制攻擊強度。值得注意的是,該 Bot 集成了一個代理抓取和驗證模組,以增強攻擊匿名性:
- 從 GitHub 和其他公共來源抓取代理列表
- 使用實時 Google 登錄嘗試驗證代理
- 使用已驗證的代理路由 HTTP Flood
命令如 $load、$customhttp 和 $customudp 允許針對特定目標進行攻擊。惡意軟體的模組化設計還支持遠程更新、強制重啟和崩潰恢復,使其具備持久性和靈活性。
Discord 作為 C2 平台
利用 Discord 作為 C2 中樞,SVF Bot 操作員避免了維護專用基礎設施的開銷。Discord 的廣泛採用和實時通訊功能使攻擊者能夠輕鬆發出指令、接收感染報告和協調攻擊活動。
這也使傳統的檢測和取締工作變得複雜,因為 Botnet 流量融合在主流平台的合法通訊中。
攻擊指標(IOCs)
安全團隊應監控以下與 SVF Bot 活動相關的 IOCs:
- MD5 Hash: cffe3fb6cb3e4b9b453c4147bdcd8c12
- 下載 URL: http://146.59.239.144:55/
- 載荷 URL: https://termbin.com/4ccx
- 攻擊者 IP: 185.254.75.44
防禦者的啟示
ASEC 的發現強烈提醒 Linux 伺服器仍然是 Botnet 操作者的首選目標,尤其是在未採取基本安全措施的情況下。Python、開源庫和 Discord 的使用降低了即使是不太複雜的攻擊者進行大規模攻擊的門檻。
FastNetMon 的建議
加強 SSH 安全性
- 禁用基於密碼的登錄,使用 SSH 密鑰
- 強制使用強且唯一的憑證
- 通過防火牆限制訪問至已知 IP
保持系統更新
- 定期更新 Python、SSH 服務和作業系統套件
- 應用端點保護,進行活躍的惡意軟體掃描
監控異常網路行為
- 留意至已知 IOCs 的外發流量
- 使用基於行為的檢測系統標記不尋常的代理使用或基於 Discord 的 C2 流量
部署網絡級 DDoS 緩解
- 使用如 FastNetMon Advanced 系統即時檢測流量峰值、Flood 和 Botnet 行為
- 實施自動封鎖和速率限制攻擊流量
結論
此事件顯示攻擊者如何適應現代生態系統,使用熟悉的工具如 Discord、Python 和免費代理建立堅韌且可擴展的 Botnet 基礎設施。感謝 AhnLab 安全情報中心的詳細分析,防禦者對威脅有了更清晰的了解,並了解所需的緩解措施。
關於 FastNetMon
FastNetMon 是領先的網絡安全解決方案,提供先進的 DDoS 檢測和緩解功能。