Zerobot 僵尸网络已升级为通过利用影响暴露在 Internet 上且未打补丁的 Apache 服务器的安全漏洞来感染新设备。
Microsoft Defender for IoT 研究团队还观察到,这个最新版本增加了新的分布式拒绝服务 (DDoS) 功能。
Zerobot 至少从 11 月开始就一直在积极开发,新版本增加了新模块和功能,以扩展僵尸网络的攻击媒介,并使其更容易感染新设备,包括防火墙、路由器和摄像头。
自 12 月初以来,该恶意软件的开发人员已经删除了针对 phpMyAdmin 服务器、Dasan GPON 家用路由器和 D-Link DSL-2750B 无线路由器的模块,这些模块具有多年的漏洞。
微软发现的更新为恶意软件的工具包添加了新的漏洞,使其能够针对七种新型设备和软件,包括未打补丁的 Apache 和 Apache Spark 服务器。
添加到 Zerobot 1.1 的完整模块列表包括:
- CVE-2017-17105:Zivif PR115-204-P-RS
- CVE-2019-10655:潮流
- CVE-2020-25223:Sophos SG UTM 的 WebAdmin
- CVE-2021-42013:阿帕奇
- CVE-2022-31137:Roxy-WI
- CVE-2022-33891:Apache Spark
- ZSL-2022-5717:MiniDVBLinux
“微软研究人员还发现了新的证据,表明 Zerobot 通过破坏具有已知漏洞的设备进行传播,这些漏洞不包含在恶意软件二进制文件中,例如 CVE-2022-30023,Tenda GPON AC1200 路由器中的命令注入漏洞,”微软安全威胁情报团队说。
最后但同样重要的是,更新后的恶意软件现在带有七种新的 DDoS 功能,包括 TCP_XMAS 攻击方法。
| 攻击方式 | 描述 |
| UDP_RAW | 发送负载可自定义的 UDP 数据包。 |
| ICMP_FLOOD | 应该是 ICMP 泛洪,但数据包构建不正确。 |
| TCP_自定义 | 发送 TCP 数据包,其中有效负载和标志是完全可定制的。 |
| TCP_SYN | 发送 SYN 数据包。 |
| TCP_ACK | 发送 ACK 数据包。 |
| TCP_SYNACK | 发送 SYN-ACK 数据包。 |
| TCP_XMAS | 圣诞树攻击(设置所有 TCP 标志)。重置原因字段是“xmas”。 |
这种基于 Go 的恶意软件(也被其开发者称为 ZeroStresser)于 11 月中旬首次被发现。
当时,它使用了大约两打漏洞来感染各种设备,包括 F5 BIG-IP、Zyxel 防火墙、Totolink、D-Link 路由器和 Hikvision 摄像头。
它针对许多系统架构和设备,包括 i386、AMD64、ARM、ARM64、MIPS、MIPS64、MIPS64le、MIPSle、PPC64、PPC64le、RISC64 和 S390x。
Zerobot 通过对具有默认或弱凭据的不安全设备的暴力攻击进行传播,并利用物联网 (IoT) 设备和 Web 应用程序中的漏洞。
一旦它感染了一个系统,它就会下载一个名为“零”的脚本,这将使它能够自我传播到在线暴露的更易受攻击的设备上。
僵尸网络获得了受感染设备的持久性,它被用来通过一系列协议发起 DDoS 攻击,但它也可以为其运营商提供对受害者网络的初始访问。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Zerobot恶意软件现在通过利用Apache漏洞进行传播
