Linux 出现新的后门木马“B1txor20”,基于 DNS 隧道技术


奇虎 360 的 Netlab 安全团队一个新的 Linux 平台后门木马,其目标是将机器纳入僵尸网络并充当下载和安装 rootkit 的渠道。该后门被命名为 “B1txor20 ”,因为其文件名为 'b1t'、使用 XOR 加密算法和 20 字节的 RC4 算法密钥长度进行传播。 B1txor20 于 2022 年 2 月 9 日首次被观察到通过 Log4j 漏洞传播,它利用 DNS Tunnel 技术,通过在 DNS 查询和响应中编码数据来与命令和控制 (C2) 服务器建立通信通道(支持直连和中继2种方式),同时使用 zlib 压缩,RC4 加密,BASE64 编码的方式保护流量的后门木马,目前通过 Log4j 漏洞传播,主要针对 ARM、X64 CPU 架构的 Linux 平台。 除了传统的后门功能外,B1txor20 还具备开启 Socket5 代理、远程下载安装 Rootkit、 反弹 Shell 等功能,这些功能可以很方便的将被侵入的设备变成跳板,供后续渗透时使用。 目前 B1txor20 的主要功能有以下几点: SHELL Proxy 执行任意命令 安装 Rootkit 上传敏感信息 但其实 B1txor20 一共支持15个功能,不过有的功能未启用,还有部分功能存在 Bug ... 所以后面极可能出现一些  B1txor20  变种。 B1txor20 工作的基本流程图如下 : 360 netlab 团队的详细介绍了对该木马进行逆向分析的破解过程,结果发现该 B1txor20 背后的团队一口气买了六年的域名: 看来制作团队对自己制造的木马非常有信心。

相關推薦

2024-04-04

XZ for C 的提交日志也很稀疏。Dennis,你最好等到新维护者出现或自己分叉。如今,在此处提交补丁毫无意义。当前维护者失去了兴趣或不再关心维护。对于这样的仓库来说,这令人遗憾。” 2022-06-08:Lasse Collin回击。“我并没有

2023-12-02

所以安装新的版本的时候需要对配置文件进行清空,防止出现运行时错误,等功能稳定之后,我们会自动处理配置变更。 ATOMDB 安装之后会创建下面的目录: <pre><code class="language-plaintext">~/Library/Application Support/Pulsarware/AT

2024-09-22

和代码安全。ICEPOS向大家承诺代码纯净开源,不含有任何后门木马或病毒! 新增的优惠券核销功能如下图示 : 图1  POS端扫码登记核销 图2  优惠券核销支付 图3 优惠券和其他支付方式同时使用 图4 优惠券支付结果

2022-12-02

加密的基于 OLE2 的只读 XLS 文件。默认密码的使用现在将出现在元数据 JSON 中。 彻底检查了全匹配功能的实现。较新的代码更可靠,更容易维护: 修复了全匹配模式下签名检测的几个已知问题: 启用嵌入式文件类型识别

2022-01-19

过暴力破解攻击来破坏设备。 自从源代码公开以来,出现了多个 Mirai 变体,这个 Linux 木马可以被认为是当今许多 Linux DDoS 恶意软件的共同祖先。虽然大多数变种在现有的 Mirai 功能上进行了补充,或实现了不同的通信协议;

2022-06-14

Intezer 和 BlackBerry 的研究团队近期新发现了一种新的 Linux 恶意软件,以一种寄生的性质影响 Linux 操作系统;它会感染受感染系统上所有正在运行的进程,为威胁参与者提供 rootkit 功能、获取凭证和远程访问的能力。 他们将这一

2023-02-16

记标头。 以太网绑定获得了对源负载平衡的支持。 IP 隧道现在支持 VTI 协议。 WEP 支持已从 nmtui 中移除。 大量错误修正和翻译更新。   更新公告 | 下载地址

2023-08-10

名花落 “拼多多 (or TEMU)”,被提名理由是:在 App 植入后门、窃听用户信息,被 Google 踢出应用市场,被卡巴斯基实锤曝光后,拼多多不仅拒不承认,还反而指责 Google 的处罚,并悄悄删除恶意代码、解散木马团队。 Pwnie Awards

2022-12-08

装了 VS Code 并位于 PATH 上的计算机运行 code tunnel。 下载新的 VS Code CLI ,并运行./code tunnel. 打开隧道访问后,您可以使用 vscode.dev 从任何设备连接到计算机,或使用VS Code 桌面中的 Remote - Tunnels扩展。 要了解更

2024-02-26

- ./data:/data/ # 请注意手动创建data目录,负责在Linux下可能出现权限问题导致无法写入 ​ gateway-web:  image: registry.cn-shenzhen.aliyuncs.com/tokengo/gateway-web  restart: always  build:    context: ../web    dockerfile: Dockerfile

2023-01-30

由于 eBPF 具有很强的安全性和稳定性,已经有越来越多的基于 eBPF 的项目如雨后春笋般蓬勃涌现。目前,很多内核子系统都已经使用了 eBPF,例如常见的网络、负载均衡、跟踪与安全等领域。此外,一些应用广泛的开源项目,如

2022-10-16

由于eBPF 具有很强的安全性和稳定性,已经有越来越多的基于 eBPF 的项目如雨后春笋般蓬勃涌现。目前,很多内核子系统都已经使用了 eBPF,例如常见的网络、负载均衡、跟踪与安全等领域。此外,一些应用广泛的开源项目,如 C

2023-03-31

要试用它,可在 Python 文件上选择一个符号,然后单击出现的灯泡 ( Ctrl+. )。你可以把符号移动到一个现有的文件或一个新的文件中。如果位置是一个新文件,就会创建一个与你的符号同名的 Python 文件。所有适用的导入

2022-06-30

分;也更容易运送一些见不得光的元素,如隐藏的遥测或后门。” 且 Paul 认为,Sourceforge 的声誉并不好;因为该平台曾被指控在 Windows .exe 文件和自解压文件中包含间谍软件和恶意软件。此外,该作者还列举了一些 7-Zip 存在的