首页 > 安全 > 正文

B1TXOR20 Linux僵尸网络使用DNS隧道和Log4J Exploit

最后更新 :2022.03.17

研究人员揭示了一个新的Linux僵尸网络,被跟踪为B1TXOR20,它利用log4j漏洞和DNS隧道。

来自Qihoo 360s NetLab的研究人员已经发现了一个用于感染Linux系统的新后门,并将它们包含在僵尸网络中被追踪为B1Txor20。

当360NetLabs HoneyPoT系统捕获一个未知的ELF文件时,首次发现恶意软件,该系统通过利用log4j漏洞来传播的未知的ELF文件。

名称b1txor20基于文件名B1T用于传播和XOR加密算法,以及RC4算法的键长度为20字节。

B1TXOR20 Linux BackDoor使用DNS隧道技术用于C2通信,以下是由此实现的主要功能列表威胁:

B1txor20

[(]许多尚未使用的特征的繁荣,其中一些具有错误的影响。专家认为,B1TXOR20僵尸网络正在开发。简而言之,B1TXOR20是Linux平台的后门,它使用DNS隧道技术来构建C2通信通道。除了传统的后门功能外,B1TXOR20还具有打开Socket5代理和远程下载和安装rootkit等功能。阅读专家发布的分析。一旦系统受到损害,威胁将使用DNS隧道连接C2并检索并执行服务器发送的命令。研究人员注意到,该机器人总共支持14个命令,允许它执行任意命令,上传系统信息,操作文件,启动和停止代理服务,并创建反向shell。 一般来说,方案使用DNS隧道的恶意软件如下:机器人发送被盗的敏感e信息,命令执行结果和需要传递的任何其他信息,在使用特定的编码技术后藏到C2作为DNS请求之后;收到请求后,C2将有效载荷发送到BOT侧作为对DNS请求的响应。以这种方式,BOT和C2在DNS协议的帮助下实现了通信。继续分析。职位包括额外的技术细节以及这种威胁的妥协(IOC)指标。

- END -

看更多