Shellbot僵尸网络：目标物联网设备和Linux服务器

Trend Micro的安全专家发现了一个用Perl语言编写的僵尸网络，叫做Shellbot。

这款恶意软件是由一个名为Outlaw的威胁组织发布的，它可以攻击Linux和Android设备以及Windows系统。

TrednMicro表示：“我们发现了一个黑客组织的网络痕迹，我们将其命名为“Outlaw”(源自罗马尼亚语haiduc，该组织主要使用的黑客工具)，该组织涉及使用Perl语言编写构建Shellbot僵尸网路。”

“该组织通过利用物联网设备和Linux服务器上常见的命令注入漏洞来构建僵尸网络。进一步研究表明，这种威胁还会影响到windows的环境，甚至安卓设备。”

在最近的攻击中，有黑客入侵了一家日本艺术机构和一家孟加拉政府网站的FTP服务器。攻击者将被入侵的的服务器链接到高可用性集群，以托管并控制僵尸网络。

僵尸机器之前是通过一个针对ShellShock漏洞的进行传播的，而在10月份，IBM的专家也观察到僵尸机器通过Drupalgeddon2漏洞进行传播，

在Trend Micro分析中的最后一系列攻击中，攻击者者利用以前暴力破解或已受感染的主机来散布恶意payload，并瞄准Ubuntu和Android设备。

通过对僵尸网络中(C&C)通信交流的分析，安全研究人员发现了僵尸网络的通信信道，发现在第一次感染时，整个信道中有142个主机。

Shellbot的后门程序由僵尸网络的管理员控制，管理员可以指示它执行各种活动，包括端口扫描、几种分布式拒绝服务攻击(DDoS)、下载文件、获取有关受感染系统的信息等。

整体攻击流程从恶意软件在目标上运行命令开始，首先验证它是否接受命令行接口(CLI)的命令。然后恶意代码将工作目录更改为“/tmp”，并下载恶意payload并使用Perl解释器运行它。而payload在最后一步中被移除，在被攻击的系统上没有留下任何痕迹。

“在监控僵尸网路的通信过程中，发现了luci、lucian、dragos、mazy、hydra和poseidon等多个身份。”

这些身份也被发现是在日本的一个受感染服务器上的用户名。这台服务器似乎有一定的重要性，因为它也被用来分发这个N3-Shellbot恶意脚本的早期版本。

研究人员能够下载黑客使用的文件。专家们利用蜜罐机器的命令注入漏洞捕捉到了一次攻击脚本，他们注意到服务器上文件的内容经常改变，文件的修改、删除和添加大多发生在中欧时间的白天。​​​​

原文链接：https://securityaffairs.co/wordpress/77722/malware/shellbot-botnet.html