Abcbot - 一种新的可进化的蠕虫僵尸网络恶意软件瞄准 Linux
奇虎360的Netlab安全团队的研究人员公布了一种名为"Abcbot"的新型僵尸网络的细节,这种僵尸网络在野外被观察到具有蠕虫般的传播特征,以感染Linux系统,并针对目标发起分布式拒绝服务(DDoS)攻击。
虽然僵尸网络的最早版本可追溯到 2021 年 7 月,但最近观察到的 10 月 30 日的新变种已配备其他更新,以攻击密码较弱的 Linux Web 服务器,并且容易受到 N 日漏洞的影响,包括自定义实施 DDoS 功能,表明恶意软件正在不断发展。
Netlab的发现也基于趋势科技上月初的一份报告,该报告宣传了针对华为云的攻击,包括加密货币挖掘和加密劫持恶意软件。入侵还值得注意的是,恶意外壳脚本特别禁用了旨在监控和扫描服务器以查找安全问题以及将用户密码重置到弹性云服务的过程。
现在,据中国互联网安全公司称,这些空壳脚本正被用来传播Abcbot。迄今为止,总共观察到了僵尸网络的六个版本。
一旦安装在受损主机上,恶意软件将触发一系列步骤的执行,这些步骤导致受感染的设备被重新用作 Web 服务器,此外,还可以将系统信息报告给命令和控制 (C2) 服务器,通过扫描打开端口将恶意软件传播到新设备,并在运营商提供新功能时自行更新。
"有趣的是,10 月 21 日更新的样本使用开源ATK Rootkit来实现 DDoS 功能,"研究人员说,"这一机制要求 Abcbot 在执行 [a] DDoS 攻击之前下载源代码、编译和加载根基模块。
"这个过程需要太多的步骤,任何有故障的步骤都会导致 DDoS 功能的故障,"研究人员指出,导致对手在 10 月 30 日发布的后续版本中用自定义攻击模块替换现成的代码,该版本完全放弃了 ATK Rootkit。
此前一个多星期,Netlab安全团队披露了"粉红"僵尸网络的细节,据信该僵尸网络感染了160多万台主要位于中国的设备,目的是发动DDoS攻击,并将广告插入不知情用户访问的HTTP网站。在相关开发中,AT&T 外星人实验室从一种名为"BotenaGo"的新 Golang 恶意软件中取出包装,该恶意软件已被发现使用超过 30 种漏洞攻击数百万路由器和物联网设备。
研究人员总结道:"这六个月的更新过程与其说是功能的不断升级,不如说是不同技术之间的权衡。"Abcbot 正在慢慢从婴儿期走向成熟期。我们不认为这个阶段是最终形式,显然有很多改进领域或功能要发展在这个阶段。
