网通设备企业Juniper旗下的威胁实验室近日披露了一个新的僵尸蠕虫(worming botnet)名为Gitpaste-12,该公司指称该病毒目前锁定基于Linux的x86服务器,以及基于Linux Arm与MIPS的IoT设备展开攻击,Gitpaste-12的名称来自于它同时借由合法的GitHub与Pastebin网站来托管组件,且迄今至少已有12种不同的攻击模块问世。
根据这个威胁实验室的调查,Gitpaste-12利用11个已知漏洞及Telnet暴力破解进行传播与感染,它们多数为路由器漏洞,也有Struts及Mongo漏洞,还具备蠕虫的复制及感染能力。
一旦成功入侵系统,Gitpaste-12就会设置自Pastebin下载的调度(cron job),以平均每分钟一次的频率调用并执行脚本程序,并于攻击行动中上传一个主要的Shell脚本程序至受害者系统,以下载及执行其他的cron job组件,之后再至GitHub下载并执行shadu1脚本程序。
至此,Gitpaste-12的行为都是用来部署攻击环境,例如shadu1便是用来关闭系统上的各种安全功能,从防火墙规定,Linux安全模块SELinux与AppArmor,到常见的攻击预防及监控软件等,皆会被停用。此外,shadu1脚本程序中的注解,都是以简体中文撰写。
该实验室发现的一个攻击案例是关闭云计算安全机制,显示它主要是用来攻击由阿里云及腾讯提供的公有云计算基础设施,其他能力还包括执行门罗币的挖矿任务。
Juniper威胁实验室是在今年的10月15日发现Gitpaste-12,随即通报Pastebin与GitHub,相关的URL及存储库都已在10月30日被关闭,因此暂时阻止了Gitpaste-12僵尸网络的扩散。