产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
一个网络犯罪组织正在将运行易受攻击的webmin应用程序的linux服务器组建成一个新的僵尸网络,安全研究人员目前正在使用roboto的名称对其进行跟踪。
僵尸网络的出现可追溯到今年夏天,这与披露了一个在超过215,000台服务器上安装的web应用程序中的一个重大安全漏洞的披露有关,这是构建僵尸网络的理想目标。
早在八月,webmin(linux系统的基于web的远程管理应用程序)背后的团队披露并修补了一个漏洞,该漏洞使攻击者能够以root权限运行恶意代码并接管旧版webmin。
由于该安全漏洞易于利用,并且存在大量易受攻击的系统,因此,在漏洞披露后数天攻击者就开始对安装了webmin的服务器进行攻击。
新的roboto僵尸网络
在近日发布的一份报告(,)中,中国网络安全供应商奇虎360的netlab团队表示,这些早期攻击者之一是他们目前以roboto的名义跟踪的新僵尸网络。
在过去的三个月中,该僵尸网络一直以webmin服务器为目标。
根据研究团队的说法,僵尸网络的主要重点似乎是扩展,因为僵尸网络的规模不断扩大,但代码复杂性也在不断增加。
目前,僵尸网络的主要功能似乎是ddos功能。另一方面,虽然代码中包含了ddos功能,但netlab表示,他们从未见过僵尸网络进行任何ddos攻击,并且僵尸网络运营商在过去几个月似乎主要集中在扩大僵尸网络的规模上。
根据netlab的说法,ddos功能可以通过诸如icmp,http,tcp和udp的媒介发起攻击。但是,除了ddos攻击之外,通过控制安装了具有webmin漏洞的linux系统上的roboto机器人还可以:
充当反向shell,让攻击者在受感染的主机上运行shell命令
从受感染的服务器收集系统,进程和网络信息
将收集的数据上传到远程服务器
运行linux system()命令
执行从远程url下载的文件
自行卸载
其他罕见的p2p僵尸网络
但上述功能并没有什么特别之处,因为许多其他物联网/ddos僵尸网络都具有类似的功能——被认为是任何现代僵尸网络基础设施的基本功能。
不过,roboto的独特之处在于它的内部结构。机器人被组织在对等(p2p)网络中,并从中央命令和控制(c&c)服务器接收彼此的命令,而不是每个机器人连接到主c&c。
根据netlab的说法,大多数机器人都是僵尸,传递命令,但也有一些机器人被选中来支撑p2p网络或作为扫描器来搜索其他易受攻击的webmin系统,以进一步扩展僵尸网络。
图片:netlab
p2p结构值得注意,因为基于p2p的通信很少出现在ddos僵尸网络中,已知使用p2p的只有hajime和hide'n'seek僵尸网络。
如果roboto运营商不自行关闭僵尸网络,那么要将其关闭将是一项非常艰巨的任务。过去,摧毁hajime僵尸网络的努力都失败了,据一位消息人士透露,僵尸网络仍在强劲发展,平均每天有4万个受感染的机器人,有时最高达到9.5万个。
消息人士称,roboto是否能够达到这个规模还有待确定,但僵尸网络并不比hajime大。
试用申请
