- A+
来自一家网络安全公司的专家发现了一个名为Shellbot的IRC机器人,它使用Perl Shellbot构建
来自国际网络安全研究所的数字取证和网络安全专家的报告证实,已发现一种新的僵尸网络主要攻击Linux服务器和易受攻击的物联网(IoT)设备。 据报道,该恶意软件是由一个名为Outlaw的威胁组织发布的,甚至针对Windows操作系统。
“我们发现了一个黑客组织的操作,我们已将它们识别为'Outlaw'(源自罗马尼亚语'haiduc',该组主要使用的黑客工具),这意味着使用在帮助下创建的IRC机器人据Perl Shellbot报道,数字取证专家在一份建议中表示。
“该组织在物联网(IoT)设备和Linux服务器中分发利用常见命令注入漏洞的机器人。 进一步的研究表明,威胁也会影响基于Windows的环境,甚至是Android设备“,专家报告仍在继续。
在最近的攻击中,黑客入侵了日本艺术机构的FTP服务器和孟加拉国的政府网站。 攻击者将提交的服务器链接到高可用性集群,以托管IRC网守并控制僵尸网络。 此僵尸程序之前已通过针对ShellShock漏洞的漏洞进行分发。 10月,计算机安全和数字取证专家指出机器人正在通过Drupalgeddon2漏洞传播。
在分析的最后一系列攻击中,黑客充分利用以前遭受攻击的主机来分发威胁并瞄准Ubuntu和Android设备。
对命令和控制流量(C&C)的分析使安全调查员能够找到有关IRC频道的信息,并发现在第一次感染时,IRC频道上有142个主机。
IRC频道管理器控制着Shellbot的后门,后者可以告诉它执行多项活动,包括端口扫描,各种类型的拒绝服务(DDoS),下载文件以及获取有关受感染系统的信息。
攻击字符串以在目标系统上运行命令的恶意软件开始,以验证它是否接受来自命令行界面(CLI)的命令。 恶意代码将工作目录更改为“/ tmp”并下载有效负载并使用Perl解释器执行它。 在最后一步中消除了有效载荷,并且在受攻击的系统中没有任何痕迹。
调查人员能够从威胁行为者使用的文件中下载。 专家使用注入蜜罐的其中一个命令的凭证,注意到文件的内容经常在服务器上修改,文件的修改,删除和添加主要是在下午和下午的早些时候进行的。在中欧的时间表。
