主要观点：20 世纪 90 年代至 21 世纪初，网络安全领域黑客活动猖獗，漏洞和攻击代码公开分享带来风险，如存在被后门感染的工具和代码。2024 年，Qualys 发现 OpenSSH 服务器的远程代码执行漏洞 CVE-2024-6387，利用该漏洞有一定难度和挑战，同时出现了疑似利用此漏洞的代码，经深入分析发现其是诱饵，背后是名为 HESIOD 的恶意工具，会下载多种架构的二进制文件进行感染，还具备执行流程劫持、启动时和运行时持久化等功能，通过 DNS over HTTP 与 C2 服务器通信，该 C2 服务器 IP 被标记为有多种恶意活动。近年来， cybersecurity 专家常成为假漏洞攻击的目标，此案例显示对漏洞评估工作进行适当尽职调查的重要性。

关键信息：

• 20 世纪 90 年代初网络安全混乱，黑客团体发布漏洞和攻击代码，后公开 PoC 带来风险。
• 2024 年 Qualys 发现 OpenSSH 漏洞，利用有难度，后出现疑似利用代码。
• 深入分析发现该代码是诱饵，背后是 HESIOD 恶意工具，具备多种恶意功能。
• C2 服务器利用 DNS over HTTP 通信，IP 被标记有多种恶意活动。
• 近年来 cybersecurity 专家常成为假漏洞攻击目标。

重要细节：

• 举例说明被后门感染的工具和代码，如 Sub7、Havij 等。
• 详细描述利用 CVE-2024-6387 的过程及遇到的困难，如理解目标系统、时间窗口和噪声等。
• 分析“exploit.py”等代码的功能和结构，包括 shellcode 等内容。
• 介绍 HESIOD 恶意工具下载的多种架构二进制文件及在系统中的部署情况。
• 阐述执行流程劫持、启动和运行时持久化的方式及相关脚本。
• 提及 C2 服务器利用 DNS over HTTP 通信的方式及 IP 的恶意活动标记。