針對執行 Webmin 的 Linux 伺服器出現了新的 Roboto 殭屍網路

安华金和發表於2019-11-22

一個網路犯罪組織正在將執行易受攻擊的 Webmin 應用程式(Linux 系統的基於 Web 的遠端管理應用程式)的 Linux 伺服器組建成一個新的殭屍網路,安全研究人員目前正在使用 Roboto 的名稱對其進行跟蹤。

殭屍網路的出現可追溯到今年夏天,這與披露了一個在超過 215,000 臺伺服器上安裝的 Web 應用程式中的一個重大安全漏洞的披露有關,這是構建殭屍網路的理想目標。

早在八月,Webmin背後的團隊披露並修補了一個漏洞,該漏洞使攻擊者能夠以 root 許可權執行惡意程式碼並接管舊版 Webmin。

由於該安全漏洞易於利用,並且存在大量易受攻擊的系統,因此,在漏洞披露後數天攻擊者就開始對安裝了Webmin的伺服器進行攻擊。

在近日釋出的一份報告(中文,英文)中,中國網路安全供應商奇虎 360 的 Netlab 團隊表示,這些早期攻擊者之一是他們目前以 Roboto 的名義跟蹤的新殭屍網路。在過去的三個月中,該殭屍網路一直以 Webmin 伺服器為目標。

根據研究團隊的說法,殭屍網路的主要重點似乎是擴充套件,因為殭屍網路的規模不斷擴大,但程式碼複雜性也在不斷增加。

目前,殭屍網路的主要功能似乎是 DDoS 功能。另一方面,雖然程式碼中包含了 DDoS 功能,但 Netlab 表示,他們從未見過殭屍網路進行任何 DDoS 攻擊,並且殭屍網路運營商在過去幾個月似乎主要集中在擴大殭屍網路的規模上。

根據 Netlab 的說法,DDoS 功能可以通過諸如 ICMP、HTTP、TCP 和 UDP 的媒介發起攻擊。但是,除了 DDoS 攻擊之外,通過控制安裝了具有 Webmin 漏洞的 Linux 系統上的 Roboto 機器人還可以:

  • 充當反向 shell,讓攻擊者在受感染的主機上執行 shell 命令
  • 從受感染的伺服器收集系統,程式和網路資訊
  • 將收集的資料上傳到遠端伺服器
  • 執行 Linux system() 命令
  • 執行從遠端 URL 下載的檔案
  • 自行解除安裝
  • 其他罕見的 P2P 殭屍網路

但上述功能並沒有什麼特別之處,因為許多其他物聯網/DDoS 殭屍網路都具有類似的功能——被認為是任何現代殭屍網路基礎設施的基本功能。 

不過,Roboto 的獨特之處在於它的內部結構。機器人被組織在對等(P2P)網路中,並從中央命令和控制(C&C)伺服器接收彼此的命令,而不是每個機器人連線到主 C&C。

根據 Netlab 的說法,大多數機器人都是殭屍,傳遞命令,但也有一些機器人被選中來支撐 P2P 網路或作為掃描器來搜尋其他易受攻擊的 Webmin 系統,以進一步擴充套件殭屍網路。

針對執行 Webmin 的 Linux 伺服器出現了新的 Roboto 殭屍網路

P2P 結構值得注意,因為基於 P2P 的通訊很少出現在 DDoS 殭屍網路中,已知使用 P2P 的只有 Hajime 和 Hide'N'Seek 殭屍網路。

如果 Roboto 運營商不自行關閉殭屍網路,那麼要將其關閉將是一項非常艱鉅的任務。過去,摧毀 Hajime 殭屍網路的努力都失敗了,據一位訊息人士透露,殭屍網路仍在強勁發展,平均每天有 4 萬個受感染的機器人,有時最高達到 9.5 萬個。

訊息人士稱,Roboto 是否能夠達到這個規模還有待確定,但殭屍網路並不比 Hajime 大。

來源:cnBeta.COM

更多資訊

工信部批准中國信通院設立域名根伺服器及域名根伺服器執行機構

工信部發布公告稱,根據《網際網路域名管理辦法》(工業和資訊化部令第43號)有關規定,經審查,批覆同意中國資訊通訊研究院設立域名根伺服器(L根映象伺服器)及成為域名根伺服器執行機構,負責執行、維護和管理編號分別為 JX0008L、JX0009L 的域名根伺服器。

來源:C114中國通訊網
詳情連結:https://www.dbsec.cn/blog/article/5443.html 

報告稱約 170 萬 BTC 可能永久丟失

Coin Metrics 估計,通過重複交易,獎勵無人認領或盜竊等方式丟失的比特幣近 170 萬。該報告將丟失的比特幣分為兩類計算:可證明丟失的比特幣與可能丟失的比特幣。可證明丟失的比特幣意味著能被證實永久丟失,可能丟失則代表極大概率永久丟失。

來源:solidot.org
詳情連結:https://www.dbsec.cn/blog/article/5444.html 

220 萬使用者密碼資料洩露

Have I Been Pwned 維護者 Troy Hunt 稱,加密錢包服務 GateHub 和遊戲網站 EpicBot 的 220 萬使用者密碼資料在網上公開。GateHub 被公開的資料庫有 140 萬賬號,共 3.72GB,還包含了二步認證金鑰,幫助記憶的短語,以及錢包雜湊。

來源:solidot.org
詳情連結:https://www.dbsec.cn/blog/article/5446.html 

(資訊來源於網路,安華金和蒐集整理)

針對執行 Webmin 的 Linux 伺服器出現了新的 Roboto 殭屍網路

訂閱“Linux 中國”官方小程式來檢視

相關文章