共计 1994 个字符,预计需要花费 5 分钟才能阅读完成。
近日,一款基于 Linux 的僵尸网络新变种“Enemybot”现身,该“Enemybot”被发现已将其攻打指标扩大到针对 Web 服务器、Android 设施和内容管理系统(CMS)的安全漏洞。
上周,美国电话电报公司外星人实验室(AT&T Alien Labs)在公布的一份技术报告中示意:“该恶意软件(Enemybot)正在迅速将 1day 破绽作为其攻击能力的一部分”。“VMware Workspace ONE、Adobe ColdFusion、WordPress、PHP Scriptcase 等服务以及 IoT 和 Android 设施都将成为指标。”
有报道称,早在往年 3 月份,Enemybot 就首次被 Securonix 就披露过,起初又被 Fortinet 披露。Enemybot 与一名被追踪为 Keksec(又名 Kek Security、Necro 和 FreakOut)的威逼行为人有关联,晚期的攻打指标是来自 Seowon Intech、D-Link 和 iRZ 的路由器。
Enemybot:僵尸网络新变种
所谓僵尸网络“Botnet”,是指采纳一种或多种流传伎俩将大量主机感化 bot 程序(僵尸程序)病毒,从而在控制者和被感化主机之间所造成的一个可一对多管制的网络。“攻击者通过各种路径流传僵尸程序感化互联网上的大量主机,而被感化的主机将通过一个管制信道接管攻击者的指令,组成一个僵尸网络”。
据理解,此次可能执行 DDoS 攻打的 Enemybot 是僵尸网络的新变种,且源自其余几个僵尸网络(如 Mirai、Qbot、Zbot、Gafgyt 和 LolFMe)。
此次最新变种的剖析结果表明,Enemybot 由以上四种僵尸网络的不同局部组合而成:
- 一个 Python 模块,用于下载依赖项并编译不同 OS 架构的恶意软件
- 僵尸网络的外围局部
- 设计用于编码和解码恶意软件字符串的混同段
- 用于接管攻打命令和获取额定有效载荷的命令和管制性能
钻研人员指出,如果 Android 设施通过 USB 连贯,或通过机器上运行的 Android 模拟器连贯,EnemyBot 就会尝试通过执行 shell 命令(“adb_infect” 性能)来“感化”它。adb 指的是 Android 调试桥,一种用于与 Android 设施通信的命令行实用程序。
此外,EnemyBot 还集成了一个新的扫描性能,该性能旨在搜寻与面向公众的资产相干的随机 IP 地址,以查找潜在平安缺点,包含公开披露后几天内呈现的新破绽。
比方除 2021 年 12 月曝光的 Log4Shell 破绽外,这还包含 Razer Sila 路由器(无 CVE)、VMware Workspace ONE Access(CVE-2022-22954)和 F5 BIG-IP(CVE-2022-1388)中最近修补的缺点,以及 Video Synchro PDF 等 WordPress 插件中的缺点。
其余平安缺点如下:
- CVE-2022-22947(CVSS 分数:10.0)-Spring Cloud Gateway 中的代码注入破绽
- CVE-2021-4039(CVSS 分数:9.8)-Zyxel 的 Web 界面中存在命令注入破绽
- CVE-2022-25075(CVSS 分数:9.8)-TOTOLink A3000RU 无线路由器中的命令注入破绽
- CVE-2021-36356(CVSS 分数:9.8)-KRAMER VIAware 中的近程代码执行破绽
- CVE-2021-35064(CVSS 分数:9.8)-Kramer VIAWare 中的权限晋升和命令执行破绽
- CVE-2020-7961(CVSS 分数:9.8)-Liferay Portal 中的近程代码执行破绽
目前,该僵尸网络“EnemyBot”的源代码已在 GitHub 上共享,使其可宽泛用于其余威逼行为体。
GitHub 上对于该项目标自述文件写道:“我不对该程序造成的任何侵害负责”。“This is posted under Apache license and is also considered art”(这是依据 Apache 许可证公布的,也被视为艺术)。”
钻研人员示意:“Keksec 的 Enemybot 仿佛刚刚开始流传,但因为作者的疾速更新,这种僵尸网络有可能成为物联网设施和 Web 服务器的次要威逼”。
“这表明 Keksec 小组资源短缺,该小组开发了恶意软件,以便在修补破绽之前利用破绽,从而进步了其流传的速度和规模。”
据报道,EnemyBot 属于 Keksec 僵尸网络家族新成员,同样由 Gafgyt 批改而来。其恶意程序大量复用同属 Keksec 僵尸网络家族程序的代码(包含 LOLFME、Gafgyt、Gafgyt_Tor、Necro 等)。
因为 EnemyBot 是一款基于多个恶意软件代码的僵尸网络,且正在通过疾速增加破绽利用来扩充其影响范畴,目前其新变种曾经增加了 24 个针对不同设施和 Web 服务器的破绽利用。
参考链接:https://thehackernews.com/202…