| Linux用戶又有一個木馬需要苦惱了,就像以往一樣,這些黑客大多部署在被劫持的Linux系統上,並在接受到命令後發起DDoS攻擊。 |
發現這件事的Dr.Web的安全研究人員說:“木馬似乎是通過破殼漏洞感染的這些Linux機器——現在仍然有很多設備沒有補上這個漏洞。”該木馬被命名爲Linux.DDoS.93,它首要會修改/var/run/dhcpclient-eth0.pid這個文件,並通過它在計算機啓動時運行。如果該文件不存在,就會自己創建一個。
當該木馬運行起來以後會進行初始化,它會啓動兩個進程,一個用於與C&C(控制)服務器通訊,另外一個用於確保木馬的父進程一直運行。
該木馬啓動25個子進程進行DDoS攻擊
當控制該木馬網絡的攻擊者發起攻擊命令時,這個木馬會啓動25個子進程來進行DDoS攻擊。
當前,該木馬可以發出UDP洪泛(針對隨機或特定端口),TCP洪泛(簡單的包,或給每個包隨機增加至多4096字節的數據)和HTTP洪泛(通過 POST、GET或HEAD請求)。而且,該木馬還能自我更新、自我刪除、終止自己的進程、ping、從C&C服務器下載和運行文件。
當它發現某些名字時會關閉
這個木馬還包括一個功能,如果在掃描計算機內存並列出活動的進程時發現如下字符串會關閉自己:
privmsg getlocalip kaiten brian krebs botnet bitcoin mine litecoin mine rootkit keylogger ddosing nulling hackforums skiddie script kiddie blackhat whitehat greyhat grayhat doxing malware bootkit ransomware spyware botkiller
這些字符串大多數與信息安全領域有關,似乎是爲了防止安全研究人員的反向工程研究,或者是爲了避免感染該惡意軟件作者自己的機器。
在感染過程中,該木馬也會掃描它的舊版本,並會關閉舊版本然後安裝一個新的。這意味着這是一個自動更新系統,該木馬的最新版本總是會出現在被感染的機器上。
Linux是過去一個月以來最熱門的木馬攻擊平臺,在最近 30 天內,安全研究人員已經發現、分析和曝光了其它五個Linux木馬: Rex、PNScan、Mirai、 LuaBot和Linux.BackDoor.Irc。