新型 Linux 僵尸網絡濫用 IaC 工具和其他新興技術

一個新的Linux僵尸網絡使用Socks5協議通過代理網絡使用Tor，濫用了合法的DevOps工具和其他新興技術。

趨勢科技的研究人員發現了一個新的Linux僵尸網絡，該僵尸網絡在網絡犯罪分子中采用了多種新興技術，包括使用Tor代理，濫用合法的DevOps工具以及刪除或停用競爭性惡意軟件。

專家強調說，這個Linux僵尸網絡從Tor網絡下載了它所需的所有文件，包括合法的二進制文件，如ss，ps和 curl。Botmasters維護著一個龐大的代理網絡，這些代理網絡接收來自表面網絡的連接。

該惡意軟件還使用Shell腳本和Unix系統設計執行HTTP請求，以獲取有關受感染系統的更多信息。

該惡意軟件利用代理網絡將請求轉換為Tor網絡，然后再聯系服務器并檢索文件。代理用于發送有關受感染系統的可識別信息，包括：

• IP地址（隨機外部和哈希內部）
• 操作系統架構
• 當前正在運行腳本的用戶名
• 統一資源標識符（URI）的一部分，用于標識要下載的文件（取決于體系結構）
• 要保存的文件，其中-o表示應保存的文件名（也是隨機的）
• 運行腳本的主機名

“我們還發現，使用的大多數代理服務器都具有帶有多個漏洞的開放服務。這些可能表示先前在不知道服務器所有者的情況下利用和部署了Tor代理服務。” 讀取趨勢科技發布的分析。“在我們為期數周的代理監視中，過了一段時間后，代理服務始終被禁用，這表明情況確實如此。”*

專家分析的惡意軟件可以使用基于Linux的操作系統運行在不同的體系結構上，這種情況表明該僵尸網絡參與了針對Linux系統的更廣泛的活動。

這是第一個濫用基礎架構代碼（IaC）工具例如Ansible，Chef和 Salt Stack）的機器人。傳播。

該僵尸網絡當前正在參與加密貨幣挖掘活動，該僵尸網絡將XMRig Monero（XMR）礦工交付到受感染的計算機上。該二進制文件包含一個配置文件，與其他加密貨幣礦工不同，它使用自己的挖礦池而不是公共池，從而使跟蹤攻擊者更加困難。

“此惡意軟件樣本不需要其他軟件；Linux操作系統是惡意軟件運行和傳播的唯一要求。它下載了必要的工具（ss，ps，curl），因為并非每個針對感染的環境都具有它們，并且用戶很可能沒有必要的權限將它們安裝在系統上（例如在容器中），”趨勢科技總結。“他們對IaC工具的武器化表明，這些惡意行為者現在也很清楚采用新技術的情況。”