据奇虎360 Netlab 安全团队3月15日披露,一种新的恶意软件正通过 Log4J 漏洞针对Linux 系统,能够将目标设备纳入僵尸网络并充当下载和安装rootkit 的渠道。
据介绍,2月9日,360Netlab的蜜罐系统捕获了一个通过Log4J漏洞传播的未知ELF文件,该文件生成的网络流量在系统中触发了DNS 隧道警报,经过查看,认定是一个全新的僵尸网络家族。安全团队基于其使用文件名 “b1t”、XOR 加密算法和 20 字节的 RC4 算法密钥长度,把它命名为B1txor20。
B1txor20用一种称为 DNS 隧道的技术,通过在 DNS 查询和响应中编码数据来与C2服务器建立通信通道。虽然在某些方面也存在缺陷,但目前支持获取 shell、执行任意命令、安装 rootkit、打开SOCKS5 代理以及将敏感信息上传回 C2 服务器的功能。一旦设备被成功入侵,B1txor20就会利用 DNS 隧道来检索和执行服务器发送的命令。
B1txor20基本流程
研究人员也发现还有一些开发出的特性没有启用,因此猜测B1txor20的开发者会根据不同的应用场景不断改进和开放不同的功能,说不定未来会遇到B1txor20的衍生版本。
参考来源: