僵尸网络的危害:主要目标是Linux服务器和物联网设备

通过郭盛华老师

僵尸网络的危害:主要目标是Linux服务器和物联网设备

一个新的可蠕虫僵尸网络通过GitHub和Pastebin进行了传播,以在目标系统上安装加密货币矿工和后门程序,并且已经返回了具有扩展功能的功能,可以破坏Web应用程序,IP摄像机和路由器。

上个月初,研究人员记录了一个名为“ Gitpaste-12 ”的加密采矿活动,该活动使用GitHub托管包含多达12个已知攻击模块的恶意代码,这些恶意代码通过从Pastebin URL下载的命令执行。

根据研究人员的说法,第二波攻击始于11月10日,使用的是来自另一个GitHub存储库的有效负载,其中包括一个Linux加密矿工(“ ls”),该文件包含用于暴力破解的密码列表尝试(“get past”),以及针对x86_64 Linux系统的本地特权升级漏洞。

最初的感染通过X10-unix(一种用Go编程语言编写的二进制文件)进行,然后从GitHub下载下一阶段的有效负载。

分析中指出:“该蠕虫针对Web应用程序,IP摄像机,路由器等进行了一系列广泛的攻击,包括至少31个已知漏洞(在以前的Gitpaste-12示例中也发现了7个漏洞),并试图破坏开放Android Debug Bridge连接和现有的恶意软件后门程序”。

31个漏洞列表中包括F5 BIG-IP流量管理用户界面(CVE-2020-5902),Pi-hole Web(CVE-2020-8816),Tenda AC15 AC1900(CVE-2020-10987)中的远程代码漏洞和vBulletin(CVE-2020-17496),以及FUEL CMS中的SQL注入错误(CVE-2020-17463),这些都已在今年曝光。

值得注意的是,十月份发现了Mirai僵尸网络的新变体Ttint使用两个Tenda路由器零日漏洞(包括CVE-2020-10987)来传播能够执行拒绝攻击的远程访问木马(RAT)服务攻击,执行恶意命令并实现反向外壳以进行远程访问。

除了在机器上安装X10-unix和Monero加密挖掘软件之外,该恶意软件还打开了监听30003和30006端口的后门,将受害者的外部IP地址上传到私有Pastebin粘贴,并尝试连接到Android Debug Bridge连接在端口5555上。

成功连接后,它将继续下载Android APK文件(“ weixin.apk”),该文件最终将安装ARM CPU版本的X10-unix。

根据估计,总共发现了至少100个不同的宿主来传播感染,七成Linux服务器中招。

来源:东方联盟郭盛华博客,转载请注明出处

关于作者

郭盛华老师 administrator

黑客防御、网络安全、开发各类系统、想学技术的朋友,可加QQ/微信 1602007,微信公众号:郭盛华