FreakOut 僵尸网络针对 Linux 系统漏洞进行攻击

Andrew 2021-01-20
专栏 - 资讯 发布于 2021-01-20 10:34:54 阅读 124 评论 0

Check Point的安全研究人员发现了与FreakOut僵尸网络相关的一系列攻击,该僵尸网络的目标是Linux系统上运行的应用程序中的多个未打补丁的漏洞。

僵尸网络于2020年11月出现在威胁领域,在某些情况下,攻击利用了最近披露的漏洞来注入OS命令。攻击旨在破坏受感染的系统以创建IRC僵尸网络,该僵尸网络以后可用于进行多种恶意活动,包括DDoS攻击和加密采矿活动。

Check Point观察到的攻击针对运行以下产品之一的设备:

  • TerraMaster TOS(TerraMaster操作系统)–用于管理TerraMaster NAS(网络附加存储)服务器的操作系统
  • Zend Framework –用于使用PHP构建Web应用程序和服务的软件包的集合,安装量超过5.7亿
  • Liferay Portal –一个免费的开源企业门户。这是一个用Java编写的Web应用程序平台,提供与门户网站和网站开发相关的功能。

一旦感染了设备,它将稍后用作攻击平台。

FreakOut僵尸网络针对3种最新危害Linux设备的漏洞

僵尸网络运营商正在扫描互联网,寻找受最近披露的一个漏洞影响的易受攻击的应用程序,并接管底层的Linux系统:

  • CVE-2020-28188 – TerraMaster管理面板中的RCE漏洞(2020年12月24日公开)–远程未经身份验证的攻击者可以利用此漏洞来注入OS命令,并使用TerraMaster TOS(4.2.06之前的版本)控制服务器。
  • CVE-2021-3007 –影响Zend Framework的反序列化漏洞(于2021年1月3日公开)。该漏洞影响的Zend Framework版本高于3.0.0,攻击者可以滥用Zend3功能,该功能从对象加载类以在服务器中上载和执行恶意代码。可以使用“callback”参数上传代码,在这种情况下,该参数将插入恶意代码,而不是“ callbackOptions”数组。
  • CVE-2020-7961 –通过Liferay Portal中的JSONWS进行Java解组漏洞(在7.2.1 CE GA2之前的版本中)(于2020年3月20日公开)。攻击者可以利用此漏洞提供一个恶意对象,该恶意对象在未经编组时可以允许远程执行代码。

“在涉及这些CVE的所有攻击中,攻击者的第一步是尝试运行OS命令的不同语法,以下载并执行名为“ out.py”的Python脚本。” 读取Check Point发布的分析。“在脚本下载并获得许可后(使用“ chmod”命令),攻击者尝试使用Python 2运行它。Python2于去年达到EOL(生命周期终止),这意味着攻击者认为受害者的设备拥有此已弃用的产品已安装。”

该机器人程序是从网站https:// gxbrowser [.] net下载的模糊Python脚本,其中包含多态代码组成。

  • 端口扫描实用程序
  • 采集系统指纹
  • 包括设备地址(MAC,IP)和内存信息。它们在代码的不同功能中用于不同的检查
  • 系统的TerraMaster TOS版本
  • 创建和发送数据包
  • 中间人攻击的ARP中毒。
  • 支持UDP和TCP数据包,还支持HTTP,DNS,SSDP和SNMP等应用层协议
  • 攻击者创建的协议打包支持。
  • 蛮力–使用硬编码凭证
  • 通过此列表,恶意软件尝试使用Telnet连接到其他网络设备。该函数接收一个IP范围,并尝试使用给定的凭证强行强制每个IP。如果成功,则将正确凭据的结果保存到文件中,并以消息形式发送到C2服务器
  • 处理插座
  • 包括处理运行时错误的异常。
  • 支持与其他设备的多线程通信。这使得机器人可以在监听服务器的同时执行动作
  • 嗅探网络
  • 使用“ ARP中毒”功能执行。该机器人将自己设置为其他设备的中间人。截获的数据发送到C2服务器
  • 使用“利用”功能传播到不同的设备。
  • 随机生成要攻击的IP
  • 利用上述CVE(CVE-2020-7961,CVE-2020-28188,CVE-2021-3007)
  • 通过将自身添加到rc.local配置中来获得持久性。
  • DDOS和泛洪– HTTP,DNS,SYN
  • Slowlaris的自我实现。该恶意软件会为相关的受害者地址创建许多套接字,以引发DDoS攻击
  • 打开反向shell –客户端上的shell
  • 通过名称或ID终止进程
  • 使用混淆技术打包和解压缩代码,以为不同的函数和变量提供随机名称。

僵尸网络可以通过组合上述功能来进行多种恶意活动,例如提供加密货币矿工,启动DDoS或在整个公司网络中横向传播。

Check Point研究人员分析了恶意代码,并能够访问botmaster用来控制僵尸网络的IRC通道。

该僵尸网络尚处于早期阶段,在分析时,IRC面板显示它仅控制188个僵尸网络。

Check Point专家还能够追踪其作者,该作者与绰号Freak一起在线。

“在2015年发布在HackForums上的帖子中,该用户由” Fl0urite”提交,标题为” N3Cr0m0rPh Polymorphic IRC BOT”,该机器人被出售以换取BitCoins(BTC)。”

专家发表的分析报告包括MITER ATT&CK技术和保护措施(IoC,IPS和Anti-Bot)。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!