据观察,一种名为Zerobot的基于Go的新型僵尸网络利用物联网(IoT)设备和其他软件中的近20个安全漏洞,在野外迅速扩散。
这个名为Zerobot的僵尸网络配备了许多模块,其中一些模块允许它自我复制、对各种协议发起攻击并进行自我传播。使用WebSocket协议,它还连接到处理其命令和控制功能的服务器。
该恶意软件的目标是感染其他计算机,以便将它们添加到分布式拒绝服务(DDoS)僵尸网络中,然后可用于对某些目标执行毁灭性的网络攻击。该恶意软件还包括一个“反杀”模块,旨在防止进程被终止或杀死。目前,Zerobot的主要重点是执行分布式拒绝服务攻击。另一方面,人们也可以将其用作初始访问的一种方式。
除了能够进行网络扫描和自我传播到附近的设备之外,Zerobot还能够在Windows(CMD)或Linux(Bash)上运行命令。Zerobot在被黑客攻击的设备上建立存在后,它会通过与服务器建立WebSocket连接并发送信息,将有关受害者的一些基本信息传达给命令和控制(C2)服务器。
此特定 Zerobot变体针对以下计算机架构:i386、amd64、arm、arm64、mips、mips64、mips64le、mipsle、ppc64、ppc64le、riscv64和s390x。它以文件名“零”存储,这也是活动名称的来源。为了获得对设备的访问权限,Zerobot 包含 21 个不同漏洞的漏洞利用程序并加以利用。
Zerobot 试图渗透其目标时会针对以下漏洞如:
迄今为止,已经发现了两个版本的Zerobot:一个是在2022年11月24日之前使用的,它具有基本功能和一个更新的版本,包括自传播模块,可以使用21个漏洞攻击其他端点。
这包括影响TOTOLINK路由器、Zysel防火墙、F5 BIG-IP、海康威视摄像头、FLIR AX8热成像摄像头、D-Link DNS320 NAS和Spring Framework等的漏洞。
Zerobot在受感染的机器上初始化后,会与远程命令控制(C2)服务器建立联系,并等待进一步的指令,允许它运行任意命令,并对TCP、UDP、TLS、HTTP和ICMP等不同网络协议发起攻击。
“在很短的时间内,它被更新为字符串模糊处理、复制文件模块和传播攻击模块,这使得它更难被检测出来,并使其具有更高的感染能力。”
评论已关闭。