<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    FreakOut 僵尸網絡針對 Linux 系統漏洞進行攻擊

    Andrew2021-01-20 10:34:54

    Check Point的安全研究人員發現了與FreakOut僵尸網絡相關的一系列攻擊,該僵尸網絡的目標是Linux系統上運行的應用程序中的多個未打補丁的漏洞。

    僵尸網絡于2020年11月出現在威脅領域,在某些情況下,攻擊利用了最近披露的漏洞來注入OS命令。攻擊旨在破壞受感染的系統以創建IRC僵尸網絡,該僵尸網絡以后可用于進行多種惡意活動,包括DDoS攻擊和加密采礦活動。

    Check Point觀察到的攻擊針對運行以下產品之一的設備:

    • TerraMaster TOS(TerraMaster操作系統)–用于管理TerraMaster NAS(網絡附加存儲)服務器的操作系統
    • Zend Framework –用于使用PHP構建Web應用程序和服務的軟件包的集合,安裝量超過5.7億
    • Liferay Portal –一個免費的開源企業門戶。這是一個用Java編寫的Web應用程序平臺,提供與門戶網站和網站開發相關的功能。

    一旦感染了設備,它將稍后用作攻擊平臺。

    FreakOut僵尸網絡針對3種最新危害Linux設備的漏洞

    僵尸網絡運營商正在掃描互聯網,尋找受最近披露的一個漏洞影響的易受攻擊的應用程序,并接管底層的Linux系統:

    • CVE-2020-28188 – TerraMaster管理面板中的RCE漏洞(2020年12月24日公開)–遠程未經身份驗證的攻擊者可以利用此漏洞來注入OS命令,并使用TerraMaster TOS(4.2.06之前的版本)控制服務器。
    • CVE-2021-3007 –影響Zend Framework的反序列化漏洞(于2021年1月3日公開)。該漏洞影響的Zend Framework版本高于3.0.0,攻擊者可以濫用Zend3功能,該功能從對象加載類以在服務器中上載和執行惡意代碼。可以使用“callback”參數上傳代碼,在這種情況下,該參數將插入惡意代碼,而不是“ callbackOptions”數組。
    • CVE-2020-7961 –通過Liferay Portal中的JSONWS進行Java解組漏洞(在7.2.1 CE GA2之前的版本中)(于2020年3月20日公開)。攻擊者可以利用此漏洞提供一個惡意對象,該惡意對象在未經編組時可以允許遠程執行代碼。

    “在涉及這些CVE的所有攻擊中,攻擊者的第一步是嘗試運行OS命令的不同語法,以下載并執行名為“ out.py”的Python腳本。” 讀取Check Point發布的分析。“在腳本下載并獲得許可后(使用“ chmod”命令),攻擊者嘗試使用Python 2運行它。Python2于去年達到EOL(生命周期終止),這意味著攻擊者認為受害者的設備擁有此已棄用的產品已安裝。”

    該機器人程序是從網站https:// gxbrowser [.] net下載的模糊Python腳本,其中包含多態代碼組成。

    • 端口掃描實用程序
    • 采集系統指紋
    • 包括設備地址(MAC,IP)和內存信息。它們在代碼的不同功能中用于不同的檢查
    • 系統的TerraMaster TOS版本
    • 創建和發送數據包
    • 中間人攻擊的ARP中毒。
    • 支持UDP和TCP數據包,還支持HTTP,DNS,SSDP和SNMP等應用層協議
    • 攻擊者創建的協議打包支持。
    • 蠻力–使用硬編碼憑證
    • 通過此列表,惡意軟件嘗試使用Telnet連接到其他網絡設備。該函數接收一個IP范圍,并嘗試使用給定的憑證強行強制每個IP。如果成功,則將正確憑據的結果保存到文件中,并以消息形式發送到C2服務器
    • 處理插座
    • 包括處理運行時錯誤的異常。
    • 支持與其他設備的多線程通信。這使得機器人可以在監聽服務器的同時執行動作
    • 嗅探網絡
    • 使用“ ARP中毒”功能執行。該機器人將自己設置為其他設備的中間人。截獲的數據發送到C2服務器
    • 使用“利用”功能傳播到不同的設備。
    • 隨機生成要攻擊的IP
    • 利用上述CVE(CVE-2020-7961,CVE-2020-28188,CVE-2021-3007)
    • 通過將自身添加到rc.local配置中來獲得持久性。
    • DDOS和泛洪– HTTP,DNS,SYN
    • Slowlaris的自我實現。該惡意軟件會為相關的受害者地址創建許多套接字,以引發DDoS攻擊
    • 打開反向shell –客戶端上的shell
    • 通過名稱或ID終止進程
    • 使用混淆技術打包和解壓縮代碼,以為不同的函數和變量提供隨機名稱。

    僵尸網絡可以通過組合上述功能來進行多種惡意活動,例如提供加密貨幣礦工,啟動DDoS或在整個公司網絡中橫向傳播。

    Check Point研究人員分析了惡意代碼,并能夠訪問botmaster用來控制僵尸網絡的IRC通道。

    該僵尸網絡尚處于早期階段,在分析時,IRC面板顯示它僅控制188個僵尸網絡。

    Check Point專家還能夠追蹤其作者,該作者與綽號Freak一起在線。

    “在2015年發布在HackForums上的帖子中,該用戶由” Fl0urite”提交,標題為” N3Cr0m0rPh Polymorphic IRC BOT”,該機器人被出售以換取BitCoins(BTC)。”

    專家發表的分析報告包括MITER ATT&CK技術和保護措施(IoC,IPS和Anti-Bot)。

    僵尸網絡linux服務器
    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    【安全頭條】Linux僵尸網絡張開懷抱迎接Confluence漏洞
    2022-06-10 08:57:53
    安全研究員監測到部分僵尸網絡開始用Confluence漏洞擴大地盤,感染Linux服務器
    PgMiner 僵尸網絡攻擊 ostgreSQL 數據庫,獲取高額利潤
    2020-12-14 10:48:17
    到目前為止,只有在Linux服務器上運行的PostgreSQL數據庫受到了攻擊。該僵尸網絡由研究人員代號 PgMiner,只是一長串針對網絡技術牟取利潤的最新網絡犯罪活動中的最新形式。如果PgMiner找到了活動的PostgreSQL系統,則僵尸網絡將從掃描階段移至暴力破解階段,在僵尸網絡階段,它會拖曳一長串密碼以嘗試猜測默認的PostgreSQL帳戶“postgres”的憑據。一旦他們對被感染的系統有了更牢固的控制,PgMiner團隊將部署一個硬幣挖掘應用程序,并嘗試在被檢測到之前挖掘盡可能多的Monero加密貨幣。
    加密 WatchDog 僵尸網絡針對 Windows 和 Linux 服務器
    2021-02-19 09:51:12
    Palo Alto Networks的安全研究人員發現了一個針對Windows和Linux系統的,名為WatchDog的加密劫持僵尸網絡。WatchDog是安全專家發現的最大,持續時間最長的Monero加密劫持操作之一,其名稱來自名為watchdogd的 Linux daemon 的名稱 。Palo Alto專家確定,至少有476個系統受到僵尸網絡的攻擊,其中主要是Windows和NIX云實例,它們參與了采礦作業。該僵尸程序使用33種不同的漏洞利用程序來針對過時的企業應用程序,以利用32個漏洞。
    基于Mirai的NoaBot僵尸網絡利用Cryptominer瞄準Linux系統
    2024-01-12 09:33:28
    又一天,又一個針對 Linux 系統的惡意軟件威脅!NoaBot和Mirai之間的一個顯著區別是,僵尸網絡不是針對DDoS攻擊,而是針對連接SSH連接的弱密碼來安裝加密貨幣挖掘軟件。
    Abcbot - 一種新的可進化的蠕蟲僵尸網絡惡意軟件瞄準 Linux
    2021-11-12 17:41:36
    奇虎360的Netlab安全團隊的研究人員公布了一種名為"Abcbot"的新型僵尸網絡的細節,這種僵尸網絡在野外被觀察到具有蠕蟲般的傳播特征,以感染Linux系統,并針對目標發起分布式拒絕服務(DDoS)攻擊。
    新型 HEH 僵尸刪除路由器、IoT 設備、Linux 服務器的數據
    2020-10-07 21:23:18
    來自中國技術巨頭奇虎360網絡安全部門Netlab的研究人員發現了一個名為HEH的新僵尸網絡,其中包含清除來自受感染系統(如路由器,IoT設備和服務器)的所有數據的代碼。 專家注意到,該惡意軟件支持多種CPU體系結構,...
    通過 SSH 蠻力攻擊針對 Linux 服務器的新 IoT RapperBot 惡意軟件
    2022-08-06 00:00:00
    自 2022 年 6 月中旬首次發現以來,人們觀察到一種名為RapperBot的新型物聯網僵尸網絡惡意軟件正在迅速發展其功能。
    挖礦病毒“盯上”了 Docker 服務器
    2022-04-27 07:16:45
    Bleeping Computer 網站披露,Lemon_Duck 僵尸網絡運營商正在進行大規模 Monero 加密挖礦活動,Linux 服務器上的 Docker API 成為其主要攻擊目標。
    物聯網惡意軟件針對性攻擊服務器和安卓系統
    2022-06-07 14:43:14
    一個被稱為 "EnemyBot" 的快速發展的物聯網惡意軟件,其攻擊目標是內容管理系統(CMS)、網絡服務器和Android設備。據研究人員稱,目前,威脅攻擊組織 "Keksec "被認為是傳播該惡意軟件的幕后推手。
    GoDaddy源代碼失竊服務器被安裝惡意程序
    2023-02-22 10:31:36
    Web 托管巨頭 GoDaddy 證實它遭到了持續多年的入侵,源代碼失竊服務器也被安裝惡意程序。
    Andrew
    暫無描述
      亚洲 欧美 自拍 唯美 另类