Linux后门程序经由Log4j漏洞传播

Log4Shell漏洞已经补好了吗?安全厂商发现最新一只后门程序正在网络传播,企图感染尚未修补Log4j漏洞的Linux设备。

自去年Log4j漏洞遭安全研究人员披露后,已经被各种恶意程序用来发动攻击,包括Elknot、Gafgyt、Mirai、Tsusnami/Muhstik等。今年2月,360 Netlab公司的诱捕系统又拦截到利用Log4j漏洞传播的恶意ELF文件。根据该文件的文件名,以及使用的XOR加密算法及RC4算法密钥长度20bytes,安全厂商将之命名为B1txor20。

简而言之,B1txor20是一只Linux平台的后门程序,利用DNS Tunnel技术创建C&C服务器的通信连接。DNS Tunnel攻击是将资料及其他程序或协议编码成DNS查询,可用以在DNS服务器上植入恶意程序,进而远程控制。

图片来源/360 Netlab

研究人员共抓到4只B1txor20样本,总共约支持15项功能,主要功能除了传统后门程序的Shell程序、执行任意指令、上传敏感信息功能外,还能打开Socket5 proxy、以及下载及安装Rootkit。从其行为来看,B1txor20利用DNS Tunnel创建C&C消息信道、支持直接连接或中继传输,也能使用ZLIB压缩、RC4加密、BASE64编码来保护对外流量。它主要攻击目标是ARM、X64 CPU架构的Linux系统。

B1txor20作者虽然开发了许多功能,但很多还尚未使用,有些功能更存在bug。研究人员认为B1txor20未来还会持续改进,并根据攻击目的激活新功能,或演化出新变种。他们发现恶意程序作者竟然申请了个长达6年的域名,推论是想大干一票。

这是最新一只锁定Linux系统Log4j漏洞的恶意程序。360 Netlab去年12月也披露Mirai、Tsunami/Muhstik以及Linux恶意软件SitesLoader攻击Linux设备。

发表评论