Linux 僵尸網(wǎng)絡(luò)新變種“EnemyBot”！利用 Web 服務(wù)器、Android 及 CMS 漏洞進(jìn)行攻擊

技術(shù)編輯：MissD丨發(fā)自 思否編輯部

公眾號：SegmentFault

近日，一款基于 Linux 的僵尸網(wǎng)絡(luò)新變種“Enemybot”現(xiàn)身，該“Enemybot”被發(fā)現(xiàn)已將其攻擊目標(biāo)擴(kuò)展到針對 Web 服務(wù)器、Android 設(shè)備和內(nèi)容管理系統(tǒng)（CMS）的安全漏洞。

上周，美國電話電報公司外星人實驗室（AT&T Alien Labs）在發(fā)布的一份技術(shù)報告中表示：“該惡意軟件（Enemybot）正在迅速將 1day 漏洞作為其攻擊能力的一部分”?！癡Mware Workspace ONE、Adobe ColdFusion、WordPress、PHP Scriptcase 等服務(wù)以及 IoT 和 Android 設(shè)備都將成為目標(biāo)?！?/span>

有報道稱，早在今年 3 月份，Enemybot 就首次被 Securonix 就披露過，后來又被 Fortinet 披露。Enemybot 與一名被追蹤為 Keksec（又名 Kek Security、Necro 和 FreakOut）的威脅行為人有關(guān)聯(lián)，早期的攻擊目標(biāo)是來自 Seowon Intech、D-Link 和 iRZ 的路由器。

所謂僵尸網(wǎng)絡(luò)“Botnet”，是指采用一種或多種傳播手段將大量主機(jī)感染 bot 程序（僵尸程序）病毒，從而在控制者和被感染主機(jī)之間所形成的一個可一對多控制的網(wǎng)絡(luò) ?！肮粽咄ㄟ^各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)，而被感染的主機(jī)將通過一個控制信道接收攻擊者的指令，組成一個僵尸網(wǎng)絡(luò)”。

據(jù)了解，此次能夠執(zhí)行 DDoS 攻擊的 Enemybot 是僵尸網(wǎng)絡(luò)的新變種，且源自其他幾個僵尸網(wǎng)絡(luò)（如 Mirai、Qbot、Zbot、Gafgyt 和 LolFMe）。

此次最新變種的分析結(jié)果表明，Enemybot 由以上四種僵尸網(wǎng)絡(luò)的不同部分組合而成：

• 一個 Python 模塊，用于下載依賴項并編譯不同 OS 架構(gòu)的惡意軟件

• 僵尸網(wǎng)絡(luò)的核心部分

• 設(shè)計用于編碼和解碼惡意軟件字符串的混淆段

• 用于接收攻擊命令和獲取額外有效載荷的命令和控制功能

• CVE-2022-22947（CVSS分?jǐn)?shù)：10.0）-Spring Cloud Gateway 中的代碼注入漏洞

• CVE-2021-4039（CVSS分?jǐn)?shù)：9.8）-Zyxel 的 Web 界面中存在命令注入漏洞

• CVE-2022-25075（CVSS分?jǐn)?shù)：9.8）-TOTOLink A3000RU 無線路由器中的命令注入漏洞

• CVE-2021-36356（CVSS分?jǐn)?shù)：9.8）-KRAMER VIAware 中的遠(yuǎn)程代碼執(zhí)行漏洞

• CVE-2021-35064（CVSS分?jǐn)?shù)：9.8）-Kramer VIAWare 中的權(quán)限提升和命令執(zhí)行漏洞

• CVE-2020-7961（CVSS分?jǐn)?shù)：9.8）-Liferay Portal 中的遠(yuǎn)程代碼執(zhí)行漏洞