Stantinko的Linux恶意软件现在冒充Apache Web服务器

Stantinko是目前仍在运行的最古老的恶意软件僵尸网络之一，已推出对其Linux恶意软件类别的更新，将其木马升级为合法的Apache Web服务器进程（httpd），以使对受感染主机的检测更加困难。

由安全公司Intezer Labs发现的升级可以确认，尽管在一段时间内没有进行代码更改，但Stantinko僵尸网络仍在今天运行。

Stantinko僵尸网络于2012年首次被发现。该恶意软件背后的组织开始通过将Stantinko木马作为应用程序捆绑的一部分或通过盗版应用程序进行分发来进行操作。

最初仅以Windows用户为目标，该恶意软件使用受感染的主机来显示不需要的广告或安装隐藏的加密货币矿工。

随着僵尸网络规模的扩大并开始产生更多的利润，这些年来，其代码不断发展。2017年，斯洛伐克安全公司ESET发现Stantinko也为Linux系统部署了其恶意软件的特殊版本，从而发现了一个重大更新[参见 PDF报告]。

该Linux版本充当SOCKS5代理，Stantinko将受感染的Linux系统转变为节点，成为更大的代理网络。

这些Linux系统中的每一个都将用于对内容管理系统（CMS）和各种基于Web的系统（例如数据库）发起暴力攻击。一旦入侵了这些系统，Stantinko帮派将提升对底层服务器操作系统（Linux或Windows）的访问权限，然后部署其自身副本和一个加密矿工，从而为恶意软件作者带来更多收益。

但是像Stantinko这样的加密采矿僵尸网络只有一角钱，而且通常没有像勒索软件帮派或Emotet或Trickbot这样的僵尸网络那样被追踪。

Stantinko的Linux恶意软件的最新版本可以追溯到2017年，版本号为1.2。但是在今天发布并与ZDNet分享的报告中，Intezer Labs表示，三年后，他们最近发现了Stantinko的Linux恶意软件的新版本，其版本号为2.17，与以前的已知版本相比有很大的提高。

但是，尽管两个版本之间存在巨大的版本差距，但Intezer团队指出，新版本实际上比旧版本更精简，并且包含的功能更少，这很奇怪，因为随着时间的流逝，恶意软件会逐渐增多。

这种奇怪举动背后的一个原因是，斯坦坦科（Stantinko）犯罪团伙可能已经从其代码中删除了所有多余的内容，只保留了他们每天需要和使用的功能。这包括代理功能，该功能仍在较新的版本中提供，对于其蛮力操作至关重要。

另一个原因也可能是Stantinko犯罪团伙试图减少针对防病毒解决方案的恶意软件指纹。更少的代码行意味着更少的恶意行为要检测。

Intezer指出，Stantinko几乎将其撤下，因为较新版本在VirusTotal聚合病毒扫描程序中的检测率非常低，几乎未被检测到。

此外，Stantinko团伙似乎已在此较新版本中隐身，因为他们还修改了Linux恶意软件使用的进程名称，选择使用httpd，该名称通常由更著名的Apache Web服务器使用。

显然，这样做是为了防止服务器所有者在常规的目视检查中发现恶意软件，因为许多Web发行版中默认都默认包含Apache Web服务器，并且此过程通常在Stantinko通常感染的Linux系统上运行。

无论哪种方式，Linux系统管理员都必须认识到，随着Linux操作系统在当今企业环境中的日益普及，越来越多的恶意软件操作将针对Linux，并且许多帮派也将利用多年开发Windows恶意软件带来的所有专业知识和技巧。。

Linux服务器所有者需要知道的是，尽管Linux是安全的操作系统，但由于配置错误，恶意软件经常潜入系统内部。在Stantinko的情况下，此僵尸网络追随使用弱密码访问其数据库和CMS的服务器管理员。

实际上，这就是所有恶意软件的运行方式，与操作系统无关。

恶意软件很少利用操作系统级别的漏洞来巩固系统地位。在大多数情况下，恶意软件帮派通常关注：

Linux OS本身的漏洞利用很少，通常是在恶意软件已经通过上述方法之一获得对系统的访问权限之后。

这些漏洞被用作第二阶段的有效负载，通常用于将特权从低级提升到管理员帐户，因此恶意软件可以完全控制受攻击的系统。这就是为什么即使Linux（或其他OS）并非直接针对的原因，一旦攻击者获得了受感染主机的立足点，它仍需要运行最新版本来防止这些用户到root的攻击。

使系统免受攻击很容易，因为大多数系统管理员需要使应用程序保持最新状态并使用强密码。但是，这始终是艰苦的工作，因为在大多数情况下，公司同时运行数百或数千个系统，攻击者只需找到一个薄弱的环节即可进入。

*编译：Domino

*来自：zdnet