log4j漏洞的披露已经过去了几个月,新的攻击仍在不断涌现。有网络安全研究人员刚刚发现了一个新的Linux僵尸网络,利用该漏洞分发 rootkit 并窃取敏感数据。
他们将僵尸网络命名为 B1txor20,并声称它使用 log4j 漏洞针对 Linux Arm 和 64 位 x86 系统。
简而言之,B1txor20就是一个Linux平台的后门程序,利用DNS Tunnel技术建立C&C服务器的通信连接。DNS Tunnel攻击是将数据及其他程序或协定编码成DNS查询,可用以在DNS服务器上植入恶意程序,进而远端控制。
“除了传统的后门功能外,B1txor20还具有打开Socket5代理和远程下载安装rootkit等功能,”研究人员表示。
除了安装 rootkit,僵尸网络还试图读写文件、运行和终止代理服务,以及运行反向 shell。它还可以从受影响的端点窃取数据,并远程运行命令,这可能导致危险恶意软件的传播。
这远非一个完美的僵尸网络,因为研究人员还发现了错误和非功能性特征。其中一个错误是在绑定域套接字后删除套接字文件,使套接字无法连接,整个功能无用。
研究人员预计,攻击者将花费额外的时间来解决问题,从而使僵尸网络比现在更加危险。
“我们假设 B1txor20 的作者会根据不同的场景不断改进和开放不同的功能,所以我们将来可能会遇到 B1txor20 的兄弟姐妹,”该组织表示。
该漏洞于去年 12 月初在 Apache 的日志记录工具 log4j 中发现,被称为有史以来最危险的漏洞之一。Log4j 被广泛使用,鉴于该漏洞允许第三方参与者远程、完全访问目标设备,其破坏潜力是无限的。
一旦被发现,Apache 就急忙开发补丁,一路上犯了错误。log4j 漏洞经过多次尝试和多次修补,最终被堵住。敦促各地的管理员保持他们的系统是最新的。
