据ESET 研究人员表示，自 2009 年以来，一个名为 "Ebury "的恶意软件僵尸网络已经感染了近 40 万台 Linux 服务器，截至 2023 年底，仍有约 10 万台服务器受到攻击。

以下是 ESET 自 2009 年以来记录的 Ebury 感染情况，可见随着时间的推移，感染量明显增长。

Ebury攻击量随时间变化，来源：ESET

在近日发布的最新更新中，ESET报告称，最近的一次执法行动使他们得以深入了解恶意软件在过去15年中的活动。虽然 40万是一个庞大的数字，但这的确是近 15 年来的入侵数量。不过这些并非是在同一时间被入侵的。

ESET解释说：在其他服务器被清理或退役的同时，不断有新的服务器被入侵。研究所掌握的数据并不能说明攻击者何时失去了对系统的访问权限，因此很难知道僵尸网络在任何特定时间点的规模。

Ebury 的最新策略

最近的 Ebury 攻击表明，操作者倾向于入侵托管提供商，并对租用被入侵提供商虚拟服务器的客户实施供应链攻击。

最初的入侵是通过凭证填充攻击进行的，使用窃取的凭证登录服务器。一旦服务器被入侵，恶意软件就会从 wtmp 和 known_hosts 文件中渗出入站/出站 SSH 连接列表，并窃取 SSH 身份验证密钥，然后利用这些密钥尝试登录其他系统。

ESET 的详细报告中写道：当 known_hosts 文件包含散列信息时，作案者会尝试对其内容进行暴力破解。

在 Ebury 操作员收集的 480 万个 known_hosts 条目中，约有 200 万个条目对其主机名进行了散列。在这些散列主机名中，40%（约 80 万个）是猜测或暴力获取的。

另外，在可能的情况下，攻击者还可能利用服务器上运行的软件中已知的漏洞来获得进一步的访问权限或提升他们的权限。

Ebury攻击链，来源：ESET

托管提供商的基础设施（包括 OpenVZ 或容器主机）可用于在多个容器或虚拟环境中部署 Ebury。

在下一阶段，恶意软件操作员通过使用地址解析协议（ARP）欺骗拦截这些数据中心内目标服务器上的 SSH 流量，将流量重定向到其控制的服务器。

一旦用户通过 SSH 登录受攻击的服务器，Ebury 就会捕获登录凭证。

中路进攻战术，来源：ESET

在服务器托管加密货币钱包的情况下，Ebury 会使用捕获的凭据自动清空钱包。据悉，2023 年Ebury 使用这种方法攻击了至少 200 台服务器，其中包括比特币和以太坊节点。

不过，这些货币化策略各不相同，还包括窃取输入支付网站的信用卡信息、重定向网络流量以从广告和联盟计划中获取收入、利用被攻陷的服务器发送垃圾邮件以及出售捕获的凭据。

注入主要有效载荷的进程，来源：ESET

在 2023 年底，ESET 观察到该软件引入了新的混淆技术和新的域生成算法 (DGA) 系统，使僵尸网络能够躲避检测并提高其抵御拦截的能力。

而根据 ESET 的最新发现，通过 Ebury 僵尸网络传播的恶意软件模块有：

• HelimodProxy： 通过修改mod_dir.so Apache模块代理原始流量和转发垃圾邮件，允许被入侵的服务器运行任意命令并支持垃圾邮件活动。
• HelimodRedirect： 通过修改各种 Apache 和 nginx 模块，将 HTTP 流量重定向到攻击者控制的网站，从而将一小部分网络流量重定向到恶意网站。
• HelimodSteal： 通过添加一个输入过滤器，拦截并窃取通过网络表单提交的数据（如登录凭证和支付详情），从而从 HTTP POST 请求中窃取敏感信息。
• KernelRedirect： 通过使用挂接 Netfilter 的 Linux 内核模块，在内核级别修改 HTTP 流量以重定向访问者，改变 HTTP 响应中的位置标头，将用户重定向到恶意 URL。
• FrizzySteal： 通过挂钩 libcurl 来拦截和渗透 HTTP 请求，使其能够捕获和窃取被入侵服务器发出的 HTTP 请求中的数据。

Ebury的恶意软件模块，来源：ESET

ESET 的最新调查是与荷兰国家高科技犯罪小组（NHTCU）合作进行的，该小组最近查获了网络犯罪分子使用的备份服务器。

荷兰当局称，Ebury 的行为者使用通过 Vidar Stealer伪造或盗用的身份，有时甚至冒用其他网络犯罪分子的绰号来误导执法部门。

目前，NHTCU 正在调查在该服务器中发现的证据，包括包含历史记录和保存的登录信息等网络浏览痕迹的虚拟机，但目前还没有新发现。

参考来源：Ebury botnet malware infected 400,000 Linux servers since 2009 (bleepingcomputer.com)