log4j漏洞的披露已经过去了几个月,新的攻击仍在不断涌现。有网络安全研究人员刚刚发现了一个新的Linux僵尸网络,利用该漏洞分发 rootkit 并窃取敏感数据。
他们将僵尸网络命名为 B1txor20,并声称它使用 log4j 漏洞针对 Linux Arm 和 64 位 x86 系统。
简而言之,B1txor20就是一个Linux平台的后门程序,利用DNS Tunnel技术建立C&C服务器的通信连接。DNS Tunnel攻击是将数据及其他程序或协定编码成DNS查询,可用以在DNS服务器上植入恶意程序,进而远端控制。
“除了传统的后门功能外,B1txor20还具有打开Socket5代理和远程下载安装rootkit等功能,”研究人员表示。
除了安装 rootkit,僵尸网络还试图读写文件、运行和终止代理服务,以及运行反向 shell。它还可以从受影响的端点窃取数据,并远程运行命令,这可能导致危险恶意软件的传播。
这远非一个完美的僵尸网络,因为研究人员还发现了错误和非功能性特征。其中一个错误是在绑定域套接字后删除套接字文件,使套接字无法连接,整个功能无用。
研究人员预计,攻击者将花费额外的时间来解决问题,从而使僵尸网络比现在更加危险。
该漏洞于去年 12 月初在 Apache 的日志记录工具 log4j 中发现,被称为有史以来最危险的漏洞之一。Log4j 被广泛使用,鉴于该漏洞允许第三方参与者远程、完全访问目标设备,其破坏潜力是无限的。
一旦被发现,Apache 就急忙开发补丁,一路上犯了错误。log4j 漏洞经过多次尝试和多次修补,最终被堵住。敦促各地的管理员保持他们的系统是最新的。
最后值得注意的是,B1txor20作者虽然开发了许多功能,但很多还尚未使用。研究人员认为B1txor20未来还会持续改进,并根据攻击目的启用新功能,或演化出新变种。他们发现恶意程序作者竟然申请了个长达6年的网域,推论是未来想大干一票。
为推动分布式存储技术发展与应用,4月14日,由百易传媒 (DOIT)与厦门大学信息学院联合主办,中国计算机学会信息存储专委会、中国计算机行业协会信息存储与安全专委会、武汉光电国家研究中心协办的2022分布式存储高峰论坛即将举行,敬请关注!(详情点击阅读原文)
了解更多数据存储圈最新动态、前沿知识和典型案例,欢迎扫码添加DOIT小助手进群,一起探究神秘未知的数据存储世界!