B1txor20利用Log4j的“第二波”，新发现的Linux僵尸网络比第一波中的漏洞利用更为复杂，并预示着即将发生“更邪恶”的攻击。

已检测到一个名为B1txor20的新Linux僵尸网络利用Log4J漏洞针对Linux系统，并感染了数十家尚未修补其系统的供应商。

僵尸网络利用该漏洞窃取敏感信息、安装rootkit、创建反向shell并充当网络流量代理。这个机器人的独特之处在于它被发现使用DNS隧道来隐藏其通信流量。

此外，僵尸网络不仅针对x64设备，还针对在ARM处理器上运行的设备。

这意味着包含嵌入式物联网产品的手机和设备等设备也容易受到攻击。由于此类嵌入式系统可能更难修补和保持最新状态，因此这种利用活动可能会持续很长时间，并导致许多企业彻夜难眠。

什么是B1txor20

B1txor20的基本流程图

由Netlab发现，B1xtor20预计来自一个新的僵尸网络 家族。发现由于系统触发了 DNS Tunnel 警告，恶意软件打开了Linux 后门来创建 C2 通信通道。它还具有开启Socket3代理、远程下载安装Rootkit等功能。

通过DNS隧道生成攻击向量

分析检测到四个不同的B1xtor20样本的细节。它们都具有或多或少相同的功能并且以相同的方式工作。它使用DNS Tunnel建立C2通道，实现直连和中继，并使用ZLIB压缩、RC4加密和BASE64编码来保护后门木马的流量。