一個月內發現的第六起 Linux DDoS 木馬

Catalin Cimpanu發表於2022-11-27

Linux 使用者又有一個木馬需要苦惱了,就像以往一樣,這些壞蛋大多部署在被劫持的 Linux 系統上,並在接受到命令後發起  DDoS 攻擊。

發現了這件事的 Dr.Web 的安全研究人員說,木馬似乎是透過破殼漏洞Shellshock感染的這些 Linux 機器——現在仍然有很多裝置沒有補上這個漏洞。

該木馬被命名為 Linux.DDoS.93,它首要會修改 /var/run/dhcpclient-eth0.pid 這個檔案,並透過它在計算機啟動時執行。如果該檔案不存在,就會自己建立一個。

當該木馬執行起來以後會進行初始化,它會啟動兩個程式,一個用於與 C&C (控制)伺服器通訊,另外一個用於確保木馬的父程式一直執行。

該木馬啟動 25 個子程式進行 DDoS 攻擊

當控制該木馬網路的攻擊者發起攻擊命令時,這個木馬會啟動 25 個子程式來進行 DDoS 攻擊。

當前,該木馬可以發出 UDP 洪泛(針對隨機或特定埠),TCP 洪泛(簡單的包,或給每個包隨機增加至多 4096 位元組的資料)和 HTTP 洪泛(透過 POST、GET 或 HEAD 請求)。

而且,該木馬還能自我更新、自我刪除、終止自己的程式、ping、從 C&C 伺服器下載和執行檔案。

當它發現某些名字時會關閉

這個木馬還包括一個功能,如果在掃描計算機記憶體並列出活動的程式時發現如下字串會關閉自己:

privmsg
getlocalip
kaiten
brian krebs
botnet
bitcoin mine
litecoin mine
rootkit
keylogger
ddosing
nulling
hackforums
skiddie
script kiddie
blackhat
whitehat
greyhat
grayhat
doxing
malware
bootkit
ransomware
spyware
botkiller

這些字串大多數與資訊保安領域有關,似乎是為了防止安全研究人員的反向工程研究,或者是為了避免感染該惡意軟體作者自己的機器。

在感染過程中,該木馬也會掃描它的舊版本,並會關閉舊版本然後安裝一個新的。這意味著這是一個自動更新系統,該木馬的最新版本總是會出現在被感染的機器上。

Linux 是過去一個月以來最熱門的木馬攻擊平臺,在最近 30 天內,安全研究人員已經發現、分析和曝光了其它五個 Linux 木馬: RexPNScanMirai、 LuaBot 和 Linux.BackDoor.Irc

相關文章