新型 Linux 僵尸网络滥用 IaC 工具和其他新兴技术

Andrew 2021-04-25
专栏 - 资讯 发布于 2021-04-25 10:01:38 阅读 155 评论 0

一个新的Linux僵尸网络使用Socks5协议通过代理网络使用Tor,滥用了合法的DevOps工具和其他新兴技术。

趋势科技的研究人员发现了一个新的Linux僵尸网络,该僵尸网络在网络犯罪分子中采用了多种新兴技术,包括使用Tor代理,滥用合法的DevOps工具以及删除或停用竞争性恶意软件。

专家强调说,这个Linux僵尸网络从Tor网络下载了它所需的所有文件,包括合法的二进制文件,如ss,ps和 curl。Botmasters维护着一个庞大的代理网络,这些代理网络接收来自表面网络的连接。

该恶意软件还使用Shell脚本和Unix系统设计执行HTTP请求,以获取有关受感染系统的更多信息。

新的Linux僵尸网络滥用IaC工具进行传播和其他新兴技术

该恶意软件利用代理网络将请求转换为Tor网络,然后再联系服务器并检索文件。代理用于发送有关受感染系统的可识别信息,包括:

  • IP地址(随机外部和哈希内部)
  • 操作系统架构
  • 当前正在运行脚本的用户名
  • 统一资源标识符(URI)的一部分,用于标识要下载的文件(取决于体系结构)
  • 要保存的文件,其中-o表示应保存的文件名(也是随机的)
  • 运行脚本的主机名

“我们还发现,使用的大多数代理服务器都具有带有多个漏洞的开放服务。这些可能表示先前在不知道服务器所有者的情况下利用和部署了Tor代理服务。” 读取趋势科技发布的分析。“在我们为期数周的代理监视中,过了一段时间后,代理服务始终被禁用,这表明情况确实如此。”*

专家分析的恶意软件可以使用基于Linux的操作系统运行在不同的体系结构上,这种情况表明该僵尸网络参与了针对Linux系统的更广泛的活动。

这是第一个滥用基础架构代码(IaC)工具例如Ansible,Chef和 Salt Stack)的机器人。传播。

该僵尸网络当前正在参与加密货币挖掘活动,该僵尸网络将XMRig Monero(XMR)矿工交付到受感染的计算机上。该二进制文件包含一个配置文件,与其他加密货币矿工不同,它使用自己的挖矿池而不是公共池,从而使跟踪攻击者更加困难。

“此恶意软件样本不需要其他软件;Linux操作系统是恶意软件运行和传播的唯一要求。它下载了必要的工具(ss,ps,curl),因为并非每个针对感染的环境都具有它们,并且用户很可能没有必要的权限将它们安装在系统上(例如在容器中),”趋势科技总结。“他们对IaC工具的武器化表明,这些恶意行为者现在也很清楚采用新技术的情况。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!