最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Zerobot恶意软件现在通过利用Apache漏洞进行传播

网络安全 快米云 来源:快米云 91浏览

僵尸网络

Zerobot 僵尸网络已升级为通过利用影响暴露在 Internet 上且未打补丁的 Apache 服务器的安全漏洞来感染新设备。

Microsoft Defender for IoT 研究团队还观察到,这个最新版本增加了新的分布式拒绝服务 (DDoS) 功能。

Zerobot 至少从 11 月开始就一直在积极开发,新版本增加了新模块和功能,以扩展僵尸网络的攻击媒介,并使其更容易感染新设备,包括防火墙、路由器和摄像头。

自 12 月初以来,该恶意软件的开发人员已经删除了针对 phpMyAdmin 服务器、Dasan GPON 家用路由器和 D-Link DSL-2750B 无线路由器的模块,这些模块具有多年的漏洞。

微软发现的更新为恶意软件的工具包添加了新的漏洞,使其能够针对七种新型设备和软件,包括未打补丁的 Apache 和 Apache Spark 服务器。

添加到 Zerobot 1.1 的完整模块列表包括:

  • CVE-2017-17105:Zivif PR115-204-P-RS
  • CVE-2019-10655:潮流
  • CVE-2020-25223:Sophos SG UTM 的 WebAdmin
  • CVE-2021-42013:阿帕奇
  • CVE-2022-31137:Roxy-WI
  • CVE-2022-33891:Apache Spark
  • ZSL-2022-5717:MiniDVBLinux

“微软研究人员还发现了新的证据,表明 Zerobot 通过破坏具有已知漏洞的设备进行传播,这些漏洞不包含在恶意软件二进制文件中,例如 CVE-2022-30023,Tenda GPON AC1200 路由器中的命令注入漏洞,”微软安全威胁情报团队

最后但同样重要的是,更新后的恶意软件现在带有七种新的 DDoS 功能,包括 TCP_XMAS 攻击方法。

攻击方式 描述
UDP_RAW 发送负载可自定义的 UDP 数据包。
ICMP_FLOOD 应该是 ICMP 泛洪,但数据包构建不正确。
TCP_自定义 发送 TCP 数据包,其中有效负载和标志是完全可定制的。
TCP_SYN 发送 SYN 数据包。
TCP_ACK 发送 ACK 数据包。
TCP_SYNACK 发送 SYN-ACK 数据包。
TCP_XMAS 圣诞树攻击(设置所有 TCP 标志)。重置原因字段是“xmas”。

这种基于 Go 的恶意软件(也被其开发者称为 ZeroStresser)于 11 月中旬首次被发现。 

当时,它使用了大约两打漏洞来感染各种设备,包括 F5 BIG-IP、Zyxel 防火墙、Totolink、D-Link 路由器和 Hikvision 摄像头。

它针对许多系统架构和设备,包括 i386、AMD64、ARM、ARM64、MIPS、MIPS64、MIPS64le、MIPSle、PPC64、PPC64le、RISC64 和 S390x。

Zerobot 通过对具有默认或弱凭据的不安全设备的暴力攻击进行传播,并利用物联网 (IoT) 设备和 Web 应用程序中的漏洞。 

一旦它感染了一个系统,它就会下载一个名为“零”的脚本,这将使它能够自我传播到在线暴露的更易受攻击的设备上。

僵尸网络获得了受感染设备的持久性,它被用来通过一系列协议发起 DDoS 攻击,但它也可以为其运营商提供对受害者网络的初始访问。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Zerobot恶意软件现在通过利用Apache漏洞进行传播