设计用于发起DDoS攻击的基于Golang的“ Kaiji”僵尸网络通过SSH蛮力感染设备

Intezer报告称，最近发现的一种使用Golang编程语言构建的僵尸网络正针对Linux系统，其中包括使用自定义植入程序的物联网（IoT）设备。

该僵尸网络由安全研究人员MalwareMustDie 命名为 Kaiji，它起源于中国，并且仅通过SSH暴力攻击进行传播，仅针对根用户。该恶意软件旨在启动分布式拒绝服务（DDoS）攻击，需要root用户访问权限才能制作自定义网络数据包并不受阻碍地运行。

Intezer 解释说，Kaiji 旨在启动多种DDoS攻击类型，包括ipspoof和synack攻击，但还包括要传播的SSH bruteforcer模块和第二个SSH传播器，用于劫持本地SSH密钥并感染与服务器连接的主机在过去。

一旦执行，该恶意软件会将其自身复制到/ tmp / seeintlog并启动另一个实例以启动恶意操作。这些操作中的每一个都在其自己的goroutine中实现，并且Intezer的安全研究人员已经确定了总共13个中央goroutine。

支持的操作包括连接到命令和控制（C＆C）服务器，从C＆C提取命令（DDoS和SSH bruteforce指令，运行shell命令或删除自身），连接到已知主机，安装持久性，检查CPU使用率或复制rootkit到/ etc / 32679并每30秒运行一次。

安全研究人员发现，rootkit经常调用自身太多次，从而消耗了机器的内存。研究人员说，加上C＆C可以在短时间内运行，这表明该恶意软件正在开发中，并且仍在测试中。

为了发动DDoS攻击，恶意软件从C＆C中同时检索目标和攻击技术。支持的攻击方法包括两个TCPFlood实现（一个具有原始套接字），两个UDPFlood实现（一个具有原始套接字）以及IPSpoof，SYNACK，SYN和ACK攻击

考虑到黑市论坛和开放源代码项目中攻击者容易获得的工具，很难看到一个从头开始编写的僵尸网络。[Kaiji]再次证实了诸如Palo Alto之类的供应商所指出的有趣轨迹，即恶意软件开发人员正在将现代语言（例如Golang）用于其操作，” Intezer总结道。