您所在的位置: 首頁(yè) >
新聞資訊 >
威脅情報(bào) >
Log4Shell漏洞已經(jīng)被修補(bǔ)好了嗎?
近日,安全廠商發(fā)現(xiàn)一個(gè)最新的后門(mén)程序正在網(wǎng)絡(luò)上傳播,企圖感染尚未修補(bǔ)Log4j漏洞的Linux裝置。
自去年被安全研究人員揭露后,Log4j漏洞已經(jīng)被Elknot、Gafgyt、Mirai、Tsusnami/Muhstik等各種惡意程序用來(lái)發(fā)動(dòng)攻擊。今年2月,安全廠商的誘捕系統(tǒng)又?jǐn)r截到利用Log4j漏洞傳播的惡意ELF文件?;谄涫褂玫奈募?、XOR加密算法和20 字節(jié)的 RC4 算法密鑰長(zhǎng)度,將之命名為“B1txor20”。
簡(jiǎn)而言之,B1txor20是一個(gè)Linux平臺(tái)的后門(mén)程序,利用DNS Tunnel技術(shù)建立C&C服務(wù)器的通信連接。DNS Tunnel攻擊是將資料及其他程序或協(xié)議編碼成DNS查詢,用于在DNS服務(wù)器上植入惡意程序,進(jìn)而遠(yuǎn)程控制。
B1txor20基本流程
研究人員共攔截到4個(gè)B1txor20樣本,總共支持約15項(xiàng)功能,主要功能除了傳統(tǒng)后門(mén)程序的Shell程序、執(zhí)行任意指令、上傳敏感信息功能外,還能打開(kāi)Socket5 proxy、下載和安裝Rootkit。從其行為來(lái)看,B1txor20除了能利用DNS Tunnel建立C&C信息通道、支持直接連接或中繼傳輸外,也能使用ZLIB壓縮、RC4加密、BASE64編碼來(lái)保護(hù)對(duì)外流量。它主要的攻擊目標(biāo)是ARM、X64 CPU架構(gòu)的Linux系統(tǒng)。
雖然B1txor20作者開(kāi)發(fā)了許多功能,但目前大多尚未投入使用,有些功能更是存在bug。研究人員認(rèn)為B1txor20未來(lái)還會(huì)持續(xù)改進(jìn),并根據(jù)攻擊目的啟用新功能,或演化出新的版本。他們發(fā)現(xiàn)惡意程序作者竟然申請(qǐng)了一個(gè)長(zhǎng)達(dá)6年的網(wǎng)域,推測(cè)是想大干一場(chǎng)。
這是最新一個(gè)鎖定Linux系統(tǒng)Log4j漏洞的惡意程序。去年12月,曾被揭露的Mirai、Tsunami/Muhstik以及Linux惡意軟件SitesLoader對(duì)Linux裝置發(fā)起攻擊。
來(lái)源:E安全