卡巴斯基全球緊急響應團隊(GERT)發現了一種新的多平臺惡意軟件威脅,該威脅使用創新策略來劫持受害者。該惡意軟件被稱為NKAbuse,使用新型網絡(NKN)技術(一種基于區塊鏈的點對點網絡協議)來傳播其感染。

NKAbuse是一個基于Go的后門,用作僵尸網絡,以Linux桌面和潛在的IoT設備為目標。該惡意軟件允許攻擊者發起分布式拒絕服務(DDoS)攻擊或遠程訪問木馬(RAT)。

值得注意的是,該后門依賴NKN進行匿名且可靠的數據交換。供您參考,NKN是一種開源協議,允許通過擁有超過60000個活動節點的公共區塊鏈進行點對點數據交換。它旨在為客戶端到服務器方法提供一種去中心化的替代方案,同時保持速度和隱私。

該僵尸網絡可以使用60000個官方節點并鏈接回其C2(命令和控制)服務器來進行洪水攻擊。它具有廣泛的DDoS攻擊庫和多種功能,可以變成強大的后門或RAT。

惡意軟件植入物會創建一個名為“Heartbeat”的結構,定期與僵尸主機進行通信。它存儲有關受感染主機的信息,包括受害者的PID、IP地址、可用內存和當前配置。

卡巴斯基研究人員在調查針對其金融行業客戶之一的事件時發現了NKAbuse。進一步檢查發現NKAbuse利用了舊的Apache Struts 2漏洞(追蹤為CVE-2017-5638)。

該漏洞由于2017年12月報告,允許攻擊者使用“shell”標頭在服務器上執行命令和Bash,然后執行命令來下載初始腳本。

NKAbuse利用NKN協議與機器人主機進行通信并發送/接收信息。它創建一個新帳戶和多客戶端,以同時從多個客戶端發送/接收數據。

NKN帳戶使用表示公鑰和遠程地址的64個字符的字符串進行初始化。設置客戶端后,惡意軟件會建立一個處理程序來接受傳入消息,其中包含42個案例,每個案例根據發送的代碼執行不同的操作。

研究人員觀察到,攻擊者利用公開可用的概念驗證漏洞來利用Struts 2缺陷。他們執行遠程shell腳本,確定受害者的操作系統并安裝第二階段有效負載。使用NKAbuse的amd64版本,攻擊通過cron作業實現了持久性。

“這個特殊的植入程序似乎是為了集成到僵尸網絡而精心設計的,但它可以適應在特定主機中充當后門的功能,并且它對區塊鏈技術的使用確保了可靠性和匿名性,這表明該僵尸網絡有擴展的潛力隨著時間的推移,它會穩定地運行,似乎沒有一個可識別的中央控制器。” ---卡巴斯基全球緊急響應團隊(GERT)

NKAbuse沒有自傳播功能,并且可以針對至少八種不同的體系結構,盡管Linux是優先考慮的。成功植入可能會導致數據泄露、盜竊、遠程管理、持久性和DDoS攻擊。

目前,其運營商正專注于感染哥倫比亞、墨西哥和越南的設備。然而,研究人員懷疑其隨著時間的推移而擴展的潛力。

區塊鏈
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接