E安全12月22日讯 一种被称为Linux/Rakos的新型Linux恶意软件正严重威胁各类设备与服务器，其恶意代码以Go语言编写而成，且二进制文件通常使用标准UPX工具进行压缩。该恶意软件通过SSH扫描搜索攻击目标。

最近国外已经有众多沮丧的用户在论坛上抱怨其嵌入式设备已经被大量计算与网络任务所吞没，怀疑是被恶意软件所攻击感染。

据研究人员分析，此轮攻击通过暴力破解SSH登录凭证的方式实现，这一点与其它Linux恶意软件、包括Linux/Moose非常相似。新的恶意软件Linux/Rakos能够利用一个开放SSH端口同时入侵嵌入式设备及服务器，而作为问题的根源，该开放端口仅受到一条易被猜到的密码的保护。此恶意软件一旦成功入侵设备，即可将其纳入僵尸网络并用于实现规模更大的恶意活动。该恶意软件基于一份特定IP地址列表对互联网进行扫描，而后逐步扩散至更多目标处。

在某些情况下，攻击者甚至能够入侵受到强密码保护的设备——无论其是否启用在线服务——并通过恢复出厂设置的方式将其还原为默认密码。

这套攻击链首先通过YAML格式标准输入（stdin）加载一个配置文件，该文件中包含命令与控制服务器（简称C&C）列表等信息，且列表中的全部凭证皆可用于对目标设备进行暴力破解。

接下来，该恶意软件会从http://127.0.0.1:61314启动一项本地HTTP服务。

根据发布的相关分析结论，“此项服务的安装理由有二：其一是采取一种巧妙而狡猾的方法，即通过调用http://127.0.0.1:61314/et利用该bot的未来版本关闭当前运行实例——无论是具体名称为何;其二是尝试调用http://127.0.0.1:61314/ex以解析一条URL查询中的‘ip’、‘u’以及‘p’等参数。截至发稿之时，这项/ex HTTP资源的目的仍不明确，而且其在代码的其余部分中并未再次得到引用。”

安全专家们还注意到，此Linux恶意软件会创建一套Web服务器以监听全部接口。

C&C服务器会对多个IP地址上的SSH服务进行扫描。恶意软件研究人员们还注意到，该木马的其它早期版本原本会扫描SMTP服务，但这一特性已经在当前版本中被禁用。

当该恶意软件成功利用自身凭证接入目标设备时，其会运行两条命令（id，uname-m）。而后，该恶意代码会检查是否有可能将自身上传至新的感染目标，并周而复始。

这项后门能够更新该配置文件（通过https://{C&C}/upgrade/vars.yaml）同时对自身进行升级。

Linux/Rakos无法在系统重启后继续保持运行。研究人员们据此提供以下建议，用以清理受感染的设备：

·使用SSH/Telnet接入您的设备

·查找名为.javaxxx的进程

·在运行nestat或者lsof等命令时配合-n开关以确保其负责处理不需要的连接

·（酌情）通过对对应进程的内存空间进行清空以收集相关证据（例如使用gcore）。大家亦可以利用cp /proc/{pid}/exe {output_file}从/proc恢复被删除的示例

·使用－kill结束该进程

感兴趣的E安全读者可以通过以下链接查看此GitHub库中的Linux/Rakos配置示例: 。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。