新的Roboto僵尸網(wǎng)絡(luò)出現(xiàn) 目標(biāo)是運(yùn)行Webmin的Linux服務(wù)器

2019-11-21 16:49:46 編輯：來(lái)源：

導(dǎo)讀一個(gè)網(wǎng)絡(luò)犯罪組織正在奴役運(yùn)行易受攻擊的Webmin應(yīng)用程序的Linux服務(wù)器進(jìn)入一個(gè)新的僵尸網(wǎng)絡(luò)，安全研究人員目前正在以Roboto的名義對(duì)其進(jìn)行跟蹤。僵尸網(wǎng)絡(luò)的出現(xiàn)可以追溯到今年夏天，它與一個(gè)安裝在超過(guò)21.5萬(wàn)臺(tái)服務(wù)器上的網(wǎng)絡(luò)應(yīng)用程序中的一個(gè)重大安全漏洞有關(guān)--這是在上面構(gòu)建僵尸網(wǎng)絡(luò)的完美炮灰。早在8月份，基于web的linux遠(yuǎn)程管理應(yīng)用Webmin背后的團(tuán)隊(duì)就發(fā)現(xiàn)并修補(bǔ)了一個(gè)漏洞，

一個(gè)網(wǎng)絡(luò)犯罪組織正在奴役運(yùn)行易受攻擊的Webmin應(yīng)用程序的Linux服務(wù)器進(jìn)入一個(gè)新的僵尸網(wǎng)絡(luò)，安全研究人員目前正在以Roboto的名義對(duì)其進(jìn)行跟蹤。

僵尸網(wǎng)絡(luò)的出現(xiàn)可以追溯到今年夏天，它與一個(gè)安裝在超過(guò)21.5萬(wàn)臺(tái)服務(wù)器上的網(wǎng)絡(luò)應(yīng)用程序中的一個(gè)重大安全漏洞有關(guān)--這是在上面構(gòu)建僵尸網(wǎng)絡(luò)的完美炮灰。

早在8月份，基于web的linux遠(yuǎn)程管理應(yīng)用Webmin背后的團(tuán)隊(duì)就發(fā)現(xiàn)并修補(bǔ)了一個(gè)漏洞，使得攻擊者能夠以root權(quán)限運(yùn)行惡意代碼，并接管較早的Webmin版本。

由于安全漏洞容易被利用，以及大量易受攻擊的系統(tǒng)，對(duì)Webmin安裝的攻擊在漏洞暴露幾天后就開(kāi)始了。

在今天發(fā)布的一份報(bào)告中(中文、英文)，中國(guó)網(wǎng)絡(luò)安全供應(yīng)商奇虎360的NetLab團(tuán)隊(duì)表示，其中一名早期攻擊者是他們目前正在以Roboto名義追蹤的一個(gè)新僵尸網(wǎng)絡(luò)。

在過(guò)去的三個(gè)月里，這個(gè)僵尸網(wǎng)絡(luò)一直以Webmin服務(wù)器為目標(biāo)。

根據(jù)研究小組的說(shuō)法，僵尸網(wǎng)絡(luò)的主要關(guān)注點(diǎn)似乎是擴(kuò)展，因?yàn)榻┦W(wǎng)絡(luò)的規(guī)模越來(lái)越大，而且代碼也越來(lái)越復(fù)雜。

目前，僵尸網(wǎng)絡(luò)的主要功能似乎是DDoS功能。另一方面，雖然DDoS功能在代碼中，但NetLab表示，他們從未見(jiàn)過(guò)僵尸網(wǎng)絡(luò)進(jìn)行任何DDoS攻擊，而僵尸網(wǎng)絡(luò)運(yùn)營(yíng)商似乎在過(guò)去幾個(gè)月主要關(guān)注的是擴(kuò)大僵尸網(wǎng)絡(luò)的規(guī)模。

根據(jù)NetLab，DDoS功能可以通過(guò)諸如ICMP、HTTP、TCP和UDP之類(lèi)的矢量來(lái)發(fā)起攻擊。但除了DDoS攻擊之外，安裝在入侵的Linux系統(tǒng)（通過(guò)Webmin漏洞）的RobotoBot還可以：

但是上面的特性并沒(méi)有什么特別之處，因?yàn)樵S多其他物聯(lián)網(wǎng)/DDoS僵尸網(wǎng)絡(luò)都有類(lèi)似的功能--被認(rèn)為是任何現(xiàn)代僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基本功能。

然而，機(jī)器人的獨(dú)特之處在于它的內(nèi)部結(jié)構(gòu)。機(jī)器人被組織在對(duì)等(P2p)網(wǎng)絡(luò)中，它們從中央命令和控制(C&C)服務(wù)器接收到的命令，而不是每個(gè)連接到主C&C的機(jī)器人。

根據(jù)NetLab，大多數(shù)機(jī)器人都是僵尸、中繼命令，但也有一些被選中來(lái)支持P2P網(wǎng)絡(luò)，或者作為掃描儀搜索其他易受攻擊的Webmin系統(tǒng)，以進(jìn)一步擴(kuò)展僵尸網(wǎng)絡(luò)。

P2P結(jié)構(gòu)之所以值得注意，是因?yàn)榛赑2P的通信很少出現(xiàn)在DDoS僵尸網(wǎng)絡(luò)中，唯一使用P2P的是Hajime[1，2，3，4]和隱藏‘N’Seek僵尸網(wǎng)絡(luò)。

如果Roboto操作人員不自己關(guān)閉僵尸網(wǎng)絡(luò)，那么將其關(guān)閉將是一項(xiàng)非常艱巨的任務(wù)。Hajime僵尸網(wǎng)絡(luò)的嘗試在過(guò)去已經(jīng)失敗，據(jù)一個(gè)消息來(lái)源說(shuō)，僵尸網(wǎng)絡(luò)仍然很強(qiáng)大，平均每天有4萬(wàn)個(gè)受感染的機(jī)器人，有時(shí)達(dá)到95000個(gè)峰值。

據(jù)消息來(lái)源稱(chēng)，如果機(jī)器人能達(dá)到這一規(guī)模，還有待確定，但僵尸網(wǎng)絡(luò)并不比Hajime大。

標(biāo)簽：

免責(zé)聲明：本文由用戶上傳，如有侵權(quán)請(qǐng)聯(lián)系刪除！