- 微软研究人员还发现了新的证据,表明 Zerobot 通过破坏具有恶意软件二进制文件中未包含的已知漏洞的设备进行传播。
- Zerobot 使用桌面入口、守护进程和服务方法的组合来实现在基于Linux的设备上的持久化。
- 虽然 Zerobot 有新的方法来利用具有新DDoS攻击功能的系统,但也有一些方法可以保护您自己免受这些攻击。
僵尸网络恶意软件操作对设备和网络构成的威胁在不断变化。威胁行为者以物联网 (IoT) 设备为目标,因为它们的设置通常会使它们容易受到攻击,而且联网设备的数量越来越多。Zerobot 僵尸网络是不断发展的威胁的一个例子,它已被修改以利用未修补的 Apache 服务器上的安全漏洞,并通过利用 IoT 设备中的漏洞进行传播。
新功绩,新能力
Zerobot 似乎是一个不断发展的威胁,恶意软件的操作者不断引入新的漏洞利用和功能。自从微软开始跟踪它以来,Zerobot 已经收到了多个更新,并作为恶意软件即服务方案的一个组件提供。2022 年 12 月,FBI 没收了多个与 DDoS 出租服务相关的域,其中一个与 Zerobot 有连接。
最新版本的 Zerobot 提供了新的 DDoS 攻击功能以及其他功能,包括利用 Apache 和 Apache Spark 漏洞的能力,分别为CVE-2021-42013和CVE-2022-33891。
该恶意软件试图通过在端口 23 和 2323 上使用 SSH 和 telnet 结合使用八个流行别名和 130 个 IoT 设备密码来访问设备。在默认端口 22 和 23 上,发现了多个 SSH 和 telnet 连接尝试。此外,微软研究人员还发现了通过敲击端口 80、8080、8888 和 2323 来打开端口并连接到这些端口的尝试。
用于 DDoS 攻击
一旦获得对系统的访问权限,它就会下载一个名为zero.sh的脚本,该脚本将下载并执行 Zerobot,获得持久性,并传播到其他在线易受攻击的设备。僵尸网络积累了被黑客攻击的设备,它们被用来使用各种协议执行 DDoS 攻击。他们还可以让运营商访问网络。
Zerobot 使用恶意软件操作员不断添加的数十个漏洞,以获得对目标的访问权限并插入恶意负载。Zerobot 1.1 中存在许多新的漏洞利用,包括:
| 漏洞 | 受影响的软件 |
| CVE-2017-17105 | Zivif PR115-204-P-RS |
| CVE-2019-10655 | 潮流 |
| CVE-2020-25223 | Sophos SG UTM 的 WebAdmin |
| CVE-2021-42013 | 阿帕奇 |
| CVE-2022-31137 | Roxy-WI |
| CVE-2022-33891 | 阿帕奇星火 |
| ZSL-2022-5717 | 迷你DVBLinux |
在 Linux 设备上持久化
为了在基于 Linux 的设备上实现持久化,Zerobot 使用了桌面入口、守护进程和服务方法的组合:
桌面入口
Zerobot 将自身复制到 $HOME/.config/ssh.service/sshf ,然后将名为sshf.desktop 的桌面条目文件写入 同一目录。
较旧的 Linux 版本使用 $HOME/.config/autostart 而不是 $HOME/.config/ssh.service。
守护进程
将自身复制到 /usr/bin/sshf并在/etc/init/sshf.conf 写入配置 。
服务
将自身复制到 /etc/sshf并在/lib/system/system/sshf.service 写入服务配置 ,然后启用该服务以确保它使用两个命令在启动时启动:
systemctl enable sshf
service enable sshf旧 Linux 版本上的所有持久性机制都使用 my.bin 和 my.bin.desktop 而不是 sshf 和 sshf.desktop
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Zerobot 1.1利用Apache漏洞传播
