新型 Linux 僵尸网络滥用 IaC 工具和其他新兴技术

一个新的Linux僵尸网络使用Socks5协议通过代理网络使用Tor，滥用了合法的DevOps工具和其他新兴技术。

趋势科技的研究人员发现了一个新的Linux僵尸网络，该僵尸网络在网络犯罪分子中采用了多种新兴技术，包括使用Tor代理，滥用合法的DevOps工具以及删除或停用竞争性恶意软件。

专家强调说，这个Linux僵尸网络从Tor网络下载了它所需的所有文件，包括合法的二进制文件，如ss，ps和 curl。Botmasters维护着一个庞大的代理网络，这些代理网络接收来自表面网络的连接。

该恶意软件还使用Shell脚本和Unix系统设计执行HTTP请求，以获取有关受感染系统的更多信息。

该恶意软件利用代理网络将请求转换为Tor网络，然后再联系服务器并检索文件。代理用于发送有关受感染系统的可识别信息，包括：

• IP地址（随机外部和哈希内部）
• 操作系统架构
• 当前正在运行脚本的用户名
• 统一资源标识符（URI）的一部分，用于标识要下载的文件（取决于体系结构）
• 要保存的文件，其中-o表示应保存的文件名（也是随机的）
• 运行脚本的主机名

“我们还发现，使用的大多数代理服务器都具有带有多个漏洞的开放服务。这些可能表示先前在不知道服务器所有者的情况下利用和部署了Tor代理服务。” 读取趋势科技发布的分析。“在我们为期数周的代理监视中，过了一段时间后，代理服务始终被禁用，这表明情况确实如此。”*

专家分析的恶意软件可以使用基于Linux的操作系统运行在不同的体系结构上，这种情况表明该僵尸网络参与了针对Linux系统的更广泛的活动。

这是第一个滥用基础架构代码（IaC）工具例如Ansible，Chef和 Salt Stack）的机器人。传播。

该僵尸网络当前正在参与加密货币挖掘活动，该僵尸网络将XMRig Monero（XMR）矿工交付到受感染的计算机上。该二进制文件包含一个配置文件，与其他加密货币矿工不同，它使用自己的挖矿池而不是公共池，从而使跟踪攻击者更加困难。

“此恶意软件样本不需要其他软件；Linux操作系统是恶意软件运行和传播的唯一要求。它下载了必要的工具（ss，ps，curl），因为并非每个针对感染的环境都具有它们，并且用户很可能没有必要的权限将它们安装在系统上（例如在容器中），”趋势科技总结。“他们对IaC工具的武器化表明，这些恶意行为者现在也很清楚采用新技术的情况。”