Log4Shell漏洞已經被修補好了嗎
近日,安全廠商發現一個最新的后門程序正在網絡上傳播,企圖感染尚未修補Log4j漏洞的Linux裝置。
自去年被安全研究人員揭露后,Log4j漏洞已經被Elknot、Gafgyt、Mirai、Tsusnami/Muhstik等各種惡意程序用來發動攻擊。今年2月,安全廠商的誘捕系統又攔截到利用Log4j漏洞傳播的惡意ELF文件。基于其使用的文件名、XOR加密算法和20 字節的 RC4 算法密鑰長度,將之命名為“B1txor20”。
簡而言之,B1txor20是一個Linux平臺的后門程序,利用DNS Tunnel技術建立C&C服務器的通信連接。DNS Tunnel攻擊是將資料及其他程序或協議編碼成DNS查詢,用于在DNS服務器上植入惡意程序,進而遠程控制。
B1txor20基本流程
研究人員共攔截到4個B1txor20樣本,總共支持約15項功能,主要功能除了傳統后門程序的Shell程序、執行任意指令、上傳敏感信息功能外,還能打開Socket5 proxy、下載和安裝Rootkit。從其行為來看,B1txor20除了能利用DNS Tunnel建立C&C信息通道、支持直接連接或中繼傳輸外,也能使用ZLIB壓縮、RC4加密、BASE64編碼來保護對外流量。它主要的攻擊目標是ARM、X64 CPU架構的Linux系統。
雖然B1txor20作者開發了許多功能,但目前大多尚未投入使用,有些功能更是存在bug。研究人員認為B1txor20未來還會持續改進,并根據攻擊目的啟用新功能,或演化出新的版本。他們發現惡意程序作者竟然申請了一個長達6年的網域,推測是想大干一場。
這是最新一個鎖定Linux系統Log4j漏洞的惡意程序。去年12月,曾被揭露的Mirai、Tsunami/Muhstik以及Linux惡意軟件SitesLoader對Linux裝置發起攻擊。
