您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
Log4Shell漏洞已經(jīng)被修補好了嗎?
近日,安全廠商發(fā)現(xiàn)一個最新的后門程序正在網(wǎng)絡(luò)上傳播,企圖感染尚未修補Log4j漏洞的Linux裝置。
自去年被安全研究人員揭露后,Log4j漏洞已經(jīng)被Elknot、Gafgyt、Mirai、Tsusnami/Muhstik等各種惡意程序用來發(fā)動攻擊。今年2月,安全廠商的誘捕系統(tǒng)又?jǐn)r截到利用Log4j漏洞傳播的惡意ELF文件。基于其使用的文件名、XOR加密算法和20 字節(jié)的 RC4 算法密鑰長度,將之命名為“B1txor20”。
簡而言之,B1txor20是一個Linux平臺的后門程序,利用DNS Tunnel技術(shù)建立C&C服務(wù)器的通信連接。DNS Tunnel攻擊是將資料及其他程序或協(xié)議編碼成DNS查詢,用于在DNS服務(wù)器上植入惡意程序,進而遠(yuǎn)程控制。
B1txor20基本流程
研究人員共攔截到4個B1txor20樣本,總共支持約15項功能,主要功能除了傳統(tǒng)后門程序的Shell程序、執(zhí)行任意指令、上傳敏感信息功能外,還能打開Socket5 proxy、下載和安裝Rootkit。從其行為來看,B1txor20除了能利用DNS Tunnel建立C&C信息通道、支持直接連接或中繼傳輸外,也能使用ZLIB壓縮、RC4加密、BASE64編碼來保護對外流量。它主要的攻擊目標(biāo)是ARM、X64 CPU架構(gòu)的Linux系統(tǒng)。
雖然B1txor20作者開發(fā)了許多功能,但目前大多尚未投入使用,有些功能更是存在bug。研究人員認(rèn)為B1txor20未來還會持續(xù)改進,并根據(jù)攻擊目的啟用新功能,或演化出新的版本。他們發(fā)現(xiàn)惡意程序作者竟然申請了一個長達6年的網(wǎng)域,推測是想大干一場。
這是最新一個鎖定Linux系統(tǒng)Log4j漏洞的惡意程序。去年12月,曾被揭露的Mirai、Tsunami/Muhstik以及Linux惡意軟件SitesLoader對Linux裝置發(fā)起攻擊。
來源:E安全