该僵尸网络具有可用于DDoS攻击,ARP中毒,隐藏的加密挖矿,发动暴力攻击等功能。
Check Point安全研究人员在今天的一份报告中说,一个新发现的僵尸网络以运行在Linux系统之上的未修补应用程序为目标。
首次在2020年11月出现, FreakOut 僵尸网络在本月的一系列新攻击中再次浮出水面。
其当前目标包括TerraMaster数据存储单元,基于Zend PHP框架构建的Web应用程序以及运行Liferay Portal内容管理系统的网站。
Check Point表示,FreakOut运营商正在大规模扫描这些应用程序的互联网,然后利用三个漏洞的利用来获得对底层Linux系统的控制。
所有这三个漏洞(在下面列出)都是相当新的漏洞,这意味着FreakOut利用尝试很有可能成功,因为许多系统可能仍在其补丁程序上落后。
- CVE-2020-28188 -TerraMaster管理面板中的RCE(于2020年12月24日公开)
- CVE-2021-3007 -Zend框架中的反序列化错误(于2021年1月3日公开)
- CVE-2020-7961 -Liferay门户中的反序列化错误(于2020年3月20日公开)
一旦FreakOut僵尸程序获得对系统的访问权,立即的步骤是下载并运行Python脚本,该脚本将受感染的设备连接到远程IRC通道,攻击者可以在该通道上使用受奴役的设备发送命令并编排各种各样的攻击列表。
根据今天发布的Check Point技术报告,FreakOut机器人可以运行的命令列表包括:
- 收集有关受感染系统的信息;
- 创建和发送UDP和TCP数据包;
- 使用一系列硬编码凭据执行Telnet蛮力攻击;
- 运行端口扫描;
- 在设备的本地网络上执行ARP中毒攻击;
- 在受感染的主机上打开反向外壳;
- 杀死本地进程;和更多。
Check Point认为,可以组合使用这些功能来执行各种操作,例如发起DDoS攻击,安装加密货币矿工,将受感染的bot转变为代理网络,或者对受感染设备的内部网络发起攻击。
但是,现在,Check Point表示僵尸网络似乎还处于起步阶段。研究人员表示,他们能够对恶意软件进行逆向工程,然后访问IRC通道,从而使操作员可以控制整个僵尸网络。
IRC面板中显示的统计数据表明,该僵尸网络仅控制着大约180个受感染的系统,但过去的数据表明,该僵尸网络仅在300个左右达到峰值。
对于僵尸网络而言,两者的数量都很少,但足以发起功能强大的DDoS攻击。
此外,Check Point表示,它还在恶意软件的代码中找到了一些线索,从而使它得以追踪其创建者,该人以Freak的绰号上网。
研究人员表示,后来进行了一些巧妙的侦查,他们能够将这个昵称与Fl0urite的较早的黑客首字母缩写联系起来.Fl0urite是现已失效的N3Cr0m0rPh的创建者。
根据过去的N3Cr0m0rPh广告的屏幕截图,许多较旧的僵尸网络功能与当前针对Linux系统的FreakOut恶意软件中的功能相同。
*编译:Domino
*来自:zdnet