近日,一款基於 Linux 的殭屍網路新變種“Enemybot”現身,該“Enemybot”被發現已將其攻擊目標擴充套件到針對 Web 伺服器、Android 裝置和內容管理系統(CMS)的安全漏洞。
上週,美國電話電報公司外星人實驗室(AT&T Alien Labs)在釋出的一份技術報告中表示:“該惡意軟體(Enemybot)正在迅速將 1day 漏洞作為其攻擊能力的一部分”。“VMware Workspace ONE、Adobe ColdFusion、WordPress、PHP Scriptcase 等服務以及 IoT 和 Android 裝置都將成為目標。”
有報導稱,早在今年 3 月份,Enemybot 就首次被 Securonix 就披露過,後來又被 Fortinet 披露。Enemybot 與一名被追蹤為 Keksec(又名 Kek Security、Necro 和 FreakOut)的威脅行為人有關聯,早期的攻擊目標是來自 Seowon Intech、D-Link 和 iRZ 的路由器。
Enemybot:殭屍網路新變種
所謂殭屍網路“Botnet”,是指採用一種或多種傳播手段將大量主機感染 bot 程式(殭屍程式)病毒,從而在控制者和被感染主機之間所形成的一個可一對多控制的網路 。“攻擊者通過各種途徑傳播殭屍程式感染網際網路上的大量主機,而被感染的主機將通過一個控制通道接收攻擊者的指令,組成一個殭屍網路”。
據瞭解,此次能夠執行 DDoS 攻擊的 Enemybot 是殭屍網路的新變種,且源自其他幾個殭屍網路(如 Mirai、Qbot、Zbot、Gafgyt 和 LolFMe)。
此次最新變種的分析結果表明,Enemybot 由以上四種殭屍網路的不同部分組合而成:
- 一個 Python 模組,用於下載依賴項並編譯不同 OS 架構的惡意軟體
- 殭屍網路的核心部分
- 設計用於編碼和解碼惡意軟體字串的混淆段
- 用於接收攻擊命令和獲取額外有效載荷的命令和控制功能
研究人員指出,如果 Android 裝置通過 USB 連線,或通過機器上執行的 Android 模擬器連線,EnemyBot 就會嘗試通過執行 shell 命令( "adb_infect"功能)來“感染”它。adb 指的是 Android 除錯橋,一種用於與Android 裝置通訊的命令列實用程式。
此外,EnemyBot 還整合了一個新的掃描功能,該功能旨在搜尋與面向公眾的資產相關的隨機 IP地址,以查詢潛在安全缺陷,包括公開披露後幾天內出現的新漏洞。
比如除 2021 年 12 月曝光的 Log4Shell 漏洞外,這還包括 Razer Sila 路由器(無 CVE)、VMware Workspace ONE Access(CVE-2022-22954)和 F5 BIG-IP(CVE-2022-1388)中最近修補的缺陷,以及 Video Synchro PDF 等 WordPress 外掛中的缺陷。
其他安全缺陷如下:
- CVE-2022-22947(CVSS分數:10.0)-Spring Cloud Gateway 中的程式碼注入漏洞
- CVE-2021-4039(CVSS分數:9.8)-Zyxel 的 Web 介面中存在命令注入漏洞
- CVE-2022-25075(CVSS分數:9.8)-TOTOLink A3000RU 無線路由器中的命令注入漏洞
- CVE-2021-36356(CVSS分數:9.8)-KRAMER VIAware 中的遠端程式碼執行漏洞
- CVE-2021-35064(CVSS分數:9.8)-Kramer VIAWare 中的許可權提升和命令執行漏洞
- CVE-2020-7961(CVSS分數:9.8)-Liferay Portal 中的遠端程式碼執行漏洞
目前,該殭屍網路“EnemyBot”的原始碼已在 GitHub 上共享,使其可廣泛用於其他威脅行為體。
GitHub 上關於該專案的自述檔案寫道:“我不對該程式造成的任何損害負責”。“This is posted under Apache license and is also considered art"(這是根據 Apache 許可證釋出的,也被視為藝術)。”
研究人員表示:“Keksec 的 Enemybot 似乎剛剛開始傳播,但由於作者的快速更新,這種殭屍網路有可能成為物聯網裝置和 Web 伺服器的主要威脅”。
“這表明 Keksec 小組資源充足,該小組開發了惡意軟體,以便在修補漏洞之前利用漏洞,從而提高了其傳播的速度和規模。”
據報導,EnemyBot 屬於 Keksec 殭屍網路家族新成員,同樣由 Gafgyt 修改而來。其惡意程式大量複用同屬 Keksec 殭屍網路家族程式的程式碼(包括 LOLFME、Gafgyt、Gafgyt_Tor、Necro 等)。
由於 EnemyBot 是一款基於多個惡意軟體程式碼的殭屍網路,且正在通過快速新增漏洞利用來擴大其影響範圍,目前其新變種已經新增了24 個針對不同裝置和 Web 伺服器的漏洞利用。