僵尸网络的危害：主要目标是Linux服务器和物联网设备

通过郭盛华老师

僵尸网络的危害：主要目标是Linux服务器和物联网设备

一个新的可蠕虫僵尸网络通过GitHub和Pastebin进行了传播，以在目标系统上安装加密货币矿工和后门程序，并且已经返回了具有扩展功能的功能，可以破坏Web应用程序，IP摄像机和路由器。

上个月初，研究人员记录了一个名为“ Gitpaste-12 ”的加密采矿活动，该活动使用GitHub托管包含多达12个已知攻击模块的恶意代码，这些恶意代码通过从Pastebin URL下载的命令执行。

根据研究人员的说法，第二波攻击始于11月10日，使用的是来自另一个GitHub存储库的有效负载，其中包括一个Linux加密矿工（“ ls”），该文件包含用于暴力破解的密码列表尝试（“get past”），以及针对x86_64 Linux系统的本地特权升级漏洞。

最初的感染通过X10-unix（一种用Go编程语言编写的二进制文件）进行，然后从GitHub下载下一阶段的有效负载。

分析中指出：“该蠕虫针对Web应用程序，IP摄像机，路由器等进行了一系列广泛的攻击，包括至少31个已知漏洞（在以前的Gitpaste-12示例中也发现了7个漏洞），并试图破坏开放Android Debug Bridge连接和现有的恶意软件后门程序”。

31个漏洞列表中包括F5 BIG-IP流量管理用户界面（CVE-2020-5902），Pi-hole Web（CVE-2020-8816），Tenda AC15 AC1900（CVE-2020-10987）中的远程代码漏洞和vBulletin（CVE-2020-17496），以及FUEL CMS中的SQL注入错误（CVE-2020-17463），这些都已在今年曝光。

值得注意的是，十月份发现了Mirai僵尸网络的新变体Ttint使用两个Tenda路由器零日漏洞（包括CVE-2020-10987）来传播能够执行拒绝攻击的远程访问木马（RAT）服务攻击，执行恶意命令并实现反向外壳以进行远程访问。

除了在机器上安装X10-unix和Monero加密挖掘软件之外，该恶意软件还打开了监听30003和30006端口的后门，将受害者的外部IP地址上传到私有Pastebin粘贴，并尝试连接到Android Debug Bridge连接在端口5555上。

成功连接后，它将继续下载Android APK文件（“ weixin.apk”），该文件最终将安装ARM CPU版本的X10-unix。

根据估计，总共发现了至少100个不同的宿主来传播感染，七成Linux服务器中招。

来源：东方联盟郭盛华博客，转载请注明出处