Shellbot僵尸网络:目标物联网设备和Linux服务器

iso60001  2207天前

Trend Micro的安全专家发现了一个用Perl语言编写的僵尸网络,叫做Shellbot。

这款恶意软件是由一个名为Outlaw的威胁组织发布的,它可以攻击Linux和Android设备以及Windows系统。

TrednMicro表示:“我们发现了一个黑客组织的网络痕迹,我们将其命名为“Outlaw”(源自罗马尼亚语haiduc,该组织主要使用的黑客工具),该组织涉及使用Perl语言编写构建Shellbot僵尸网路。”

“该组织通过利用物联网设备和Linux服务器上常见的命令注入漏洞来构建僵尸网络。进一步研究表明,这种威胁还会影响到windows的环境,甚至安卓设备。”

22.png

在最近的攻击中,有黑客入侵了一家日本艺术机构和一家孟加拉政府网站的FTP服务器。攻击者将被入侵的的服务器链接到高可用性集群,以托管并控制僵尸网络。

僵尸机器之前是通过一个针对ShellShock漏洞的进行传播的,而在10月份,IBM的专家也观察到僵尸机器通过Drupalgeddon2漏洞进行传播,

在Trend Micro分析中的最后一系列攻击中,攻击者者利用以前暴力破解或已受感染的主机来散布恶意payload,并瞄准Ubuntu和Android设备。

通过对僵尸网络中(C&C)通信交流的分析,安全研究人员发现了僵尸网络的通信信道,发现在第一次感染时,整个信道中有142个主机。

Shellbot的后门程序由僵尸网络的管理员控制,管理员可以指示它执行各种活动,包括端口扫描、几种分布式拒绝服务攻击(DDoS)、下载文件、获取有关受感染系统的信息等。

整体攻击流程从恶意软件在目标上运行命令开始,首先验证它是否接受命令行接口(CLI)的命令。然后恶意代码将工作目录更改为“/tmp”,并下载恶意payload并使用Perl解释器运行它。而payload在最后一步中被移除,在被攻击的系统上没有留下任何痕迹。

“在监控僵尸网路的通信过程中,发现了luci、lucian、dragos、mazy、hydra和poseidon等多个身份。”

这些身份也被发现是在日本的一个受感染服务器上的用户名。这台服务器似乎有一定的重要性,因为它也被用来分发这个N3-Shellbot恶意脚本的早期版本。

研究人员能够下载黑客使用的文件。专家们利用蜜罐机器的命令注入漏洞捕捉到了一次攻击脚本,他们注意到服务器上文件的内容经常改变,文件的修改、删除和添加大多发生在中欧时间的白天。​​​​

原文链接:https://securityaffairs.co/wordpress/77722/malware/shellbot-botnet.html

最新评论

昵称
邮箱
提交评论