新的“B1txor20”Linux 僵尸网络正利用 Log4J 漏洞进行传播
2022-3-17 11:20:6 Author: www.freebuf.com(查看原文) 阅读量:23 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据奇虎360 Netlab 安全团队3月15日披露,一种新的恶意软件正通过 Log4J 漏洞针对Linux 系统,能够将目标设备纳入僵尸网络并充当下载和安装rootkit 的渠道。

据介绍,2月9日,360Netlab的蜜罐系统捕获了一个通过Log4J漏洞传播的未知ELF文件,该文件生成的网络流量在系统中触发了DNS 隧道警报,经过查看,认定是一个全新的僵尸网络家族。安全团队基于其使用文件名 'b1t'、XOR 加密算法和 20 字节的 RC4 算法密钥长度,把它命名为B1txor20。

B1txor20用一种称为 DNS 隧道的技术,通过在 DNS 查询和响应中编码数据来与C2服务器建立通信通道。虽然在某些方面也存在缺陷,但目前支持获取 shell、执行任意命令、安装 rootkit、打开SOCKS5 代理以及将敏感信息上传回 C2 服务器的功能。一旦机器被成功入侵,B1txor20就会利用 DNS 隧道来检索和执行服务器发送的命令。

B1txor20基本流程

研究人员也发现还有一些开发出的特性没有启用,因此猜测B1txor20的开发者会根据不同的应用场景不断改进和开放不同的功能,说不定未来会遇到B1txor20的衍生版本。

参考来源:https://blog.netlab.360.com/b1txor20-use-of-dns-tunneling_en/


文章来源: https://www.freebuf.com/news/325221.html
如有侵权请联系:admin#unsafe.sh