新的Roboto僵尸網(wǎng)絡出現(xiàn) 目標是運行Webmin的Linux服務器

一個網(wǎng)絡犯罪組織正在奴役運行易受攻擊的Webmin應用程序的Linux服務器進入一個新的僵尸網(wǎng)絡，安全研究人員目前正在以Roboto的名義對其進行跟蹤。

僵尸網(wǎng)絡的出現(xiàn)可以追溯到今年夏天，它與一個安裝在超過21.5萬臺服務器上的網(wǎng)絡應用程序中的一個重大安全漏洞有關--這是在上面構建僵尸網(wǎng)絡的完美炮灰。

早在8月份，基于web的linux遠程管理應用Webmin背后的團隊就發(fā)現(xiàn)并修補了一個漏洞，使得攻擊者能夠以root權限運行惡意代碼，并接管較早的Webmin版本。

由于安全漏洞容易被利用，以及大量易受攻擊的系統(tǒng)，對Webmin安裝的攻擊在漏洞暴露幾天后就開始了。

在今天發(fā)布的一份報告中(中文、英文)，中國網(wǎng)絡安全供應商奇虎360的NetLab團隊表示，其中一名早期攻擊者是他們目前正在以Roboto名義追蹤的一個新僵尸網(wǎng)絡。

在過去的三個月里，這個僵尸網(wǎng)絡一直以Webmin服務器為目標。

根據(jù)研究小組的說法，僵尸網(wǎng)絡的主要關注點似乎是擴展，因為僵尸網(wǎng)絡的規(guī)模越來越大，而且代碼也越來越復雜。

目前，僵尸網(wǎng)絡的主要功能似乎是DDoS功能。另一方面，雖然DDoS功能在代碼中，但NetLab表示，他們從未見過僵尸網(wǎng)絡進行任何DDoS攻擊，而僵尸網(wǎng)絡運營商似乎在過去幾個月主要關注的是擴大僵尸網(wǎng)絡的規(guī)模。

根據(jù)NetLab，DDoS功能可以通過諸如ICMP、HTTP、TCP和UDP之類的矢量來發(fā)起攻擊。但除了DDoS攻擊之外，安裝在入侵的Linux系統(tǒng)（通過Webmin漏洞）的RobotoBot還可以：

但是上面的特性并沒有什么特別之處，因為許多其他物聯(lián)網(wǎng)/DDoS僵尸網(wǎng)絡都有類似的功能--被認為是任何現(xiàn)代僵尸網(wǎng)絡基礎設施的基本功能。

然而，機器人的獨特之處在于它的內部結構。機器人被組織在對等(P2p)網(wǎng)絡中，它們從中央命令和控制(C&C)服務器接收到的命令，而不是每個連接到主C&C的機器人。

根據(jù)NetLab，大多數(shù)機器人都是僵尸、中繼命令，但也有一些被選中來支持P2P網(wǎng)絡，或者作為掃描儀搜索其他易受攻擊的Webmin系統(tǒng)，以進一步擴展僵尸網(wǎng)絡。

P2P結構之所以值得注意，是因為基于P2P的通信很少出現(xiàn)在DDoS僵尸網(wǎng)絡中，唯一使用P2P的是Hajime[1，2，3，4]和隱藏‘N’Seek僵尸網(wǎng)絡。

如果Roboto操作人員不自己關閉僵尸網(wǎng)絡，那么將其關閉將是一項非常艱巨的任務。Hajime僵尸網(wǎng)絡的嘗試在過去已經(jīng)失敗，據(jù)一個消息來源說，僵尸網(wǎng)絡仍然很強大，平均每天有4萬個受感染的機器人，有時達到95000個峰值。

據(jù)消息來源稱，如果機器人能達到這一規(guī)模，還有待確定，但僵尸網(wǎng)絡并不比Hajime大。