基于 Go 的僵尸网络活动 Zerobot,整合了对 21 个漏洞的利用


FortiGuard Labs 最新发布的一份研究指出,研究人员在 11 月观察到了一个用 Go 语言编写的独特僵尸网络正在通过 IoT 漏洞进行传播。这个被称为 Zerobot 的僵尸网络包含多个模块,包括自我复制、针对不同协议的攻击和自我传播;还使用 WebSocket 协议与其命令和控制服务器通信。它主要针对 Linux 操作系统,以控制易受攻击的设备。

根据介绍,Zerobot 的目的是将受感染的设备添加到分布式拒绝服务 (DDoS) 僵尸网络中,以对指定目标发起强大的攻击。可以扫描网络并自我传播到邻近的设备,以及在 Windows (CMD) 或 Linux (Bash) 上运行命令。

Zerobot 有两个版本,11 月 24 日之前使用的第一个只包含基本功能,随后出现的新版本则包含额外的模块和针对新漏洞的漏洞利用。这一行为表明,该恶意软件正在积极开发中。

 

Zerobot 整合了对 21 个漏洞的利用,并利用这些漏洞获得对设备的访问;然后下载脚本以进一步传播。它使用文件名"zero,"进行保存,这也是其命名的由来。影响范围涵盖 F5 BIG-IP、Zyxel 防火墙、Totolink 和 D-Link 路由器以及 Hikvision cameras 等。除了一些物联网漏洞外,还包括 Spring4Shell、phpAdmin、F5 Big 等,以提高其成功率。

它可以针对一系列系统架构和设备,包括 i386、AMD64、ARM、ARM64、MIPS、MIPS64、MIPS64le、MIPSle、PPC64、PPC64le、RISC64 和 S390x。

当前下载脚本

Zerobot 中的漏洞利用列表

Zerobot 攻击的易受攻击的设备

此外,僵尸网络还使用了四个未分配标识符的漏洞。其中两个针对 GPON 终端和 D-Link 路由器。关于另外两个的细节目前还不清楚。

在受感染的设备上建立存在后,Zerobot 会设置到命令和控制 (C2) 服务器的 WebSocket 连接,并发送有关受害者的一些基本信息。C2 可能会响应以下命令之一:“ping”、“attack”、“stop”、“update”、“kill”、“disable_scan”、“enable_scan'”和“command”。

该恶意软件还使用一个“anti-kill”模块,旨在防止终止或杀死其进程的。目前,Zerobot 主要专注于发起 DDoS 攻击,但是它也可以用作 initial access。

Fortinet 总结称,Zerobot 是一种用 Go 编程语言编写的新型僵尸网络,通过 WebSocket 协议进行通信。自 11 月 18 日首次出现以来,Zerobot 开发人员已通过字符串混淆、复制文件模块、自我传播模块和几个新的漏洞进行了改进,使其更难检测并赋予它感染更多设备的更高能力用户应该意识到这一新威胁,并在补丁可用时积极应用补丁。


相關推薦

2021-12-16

漏洞的攻击已从尝试安装 coin miners(包括 Kinsing 矿工僵尸网络)演变为更复杂的手段。“最近的情报表明,攻击者正试图利用该漏洞来暴露 Amazon Web Service 帐户使用的密钥。还有迹象表明,攻击者试图利用该漏洞在受害网络

2022-11-03

公司 SonicWall 最新发布了一份 2022 年网络威胁报告,基于 215 个国家和地区的超过一百万个全球传感器收集的数据,探讨了安全专业人员需要关注的一些危险的趋势。报告指出: 2022 年上半年记录了 28 亿次恶意软件攻

2022-03-18

奇虎 360 的 Netlab 安全团队一个新的 Linux 平台后门木马,其目标是将机器纳入僵尸网络并充当下载和安装 rootkit 的渠道。该后门被命名为 “B1txor20 ”,因为其文件名为 'b1t'、使用 XOR 加密算法和 20 字节的 RC4 算法密钥长度

2021-12-23

,比利时国防部承认他们遭受了严重的网络攻击,该攻击基于此前我们报导的 Apache Log4j 相关漏洞。强烈的网络攻击导致比利时国防部的一些活动瘫痪,如邮件系统就已经停机了好几天。 比利时相关发言人奥利维尔·塞维林 (O

2022-06-17

ps 的 DDoS 攻击源于一个由 5067 台设备组成的小型而强大的僵尸网络。平均而言,每个节点在峰值时产生约 5,200 rps。为了对比这个僵尸网络的规模,Cloudflare 一直在跟踪另一个规模更大但不那么强大的僵尸网络,它拥有超过 73 万

2023-09-13

过网页浏览、阅读短信彩信、收发邮件、文件下载、无线网络通信(不包括通信距离小于10厘米的短距通信)等方式。 近场通信:指NFC、蓝牙 静默安装:指安装应用实现过程中,被攻击者完全无感知(例如,应用商店自动安装

2022-01-19

一份报告中指出,针对通常部署在物联网 (IoT) 设备中的基于 Linux 的操作系统的恶意软件在 2021 年比 2020 年增加了 35%,前三大恶意软件家族在 2021 年占所有基于 Linux 的 IoT 恶意软件的 22%。 与 2020 年相比,2021 年针对 Linux 系统

2022-06-15

入了一个新的“Capture”插件,它提供了一种更简化的在网络上窃取凭据的方法。启动插件时将自动启动 13 个不同的服务,四个以 SSL 模式运行,以捕获网络上的凭据。 SMB v3 服务器支持  Metasploit 扩展了对 SMB v3 的支持,可

2022-08-09

遍历漏洞(CVE-2022-35919) MinIO是一个用 Golang 开发的基于 Apache License v2.0 开源协议的对象存储服务。 在受影响的版本中,经admin:ServerUpdate授权的admin用户可能会获取到任意路径的文件内容。   参考链接: https://www.o

2023-03-21

已发布了 3 款自研芯片,面向AI推理、视频处理和高性能网络三大场景;腾讯自主研发的移动机器人 Max 和 Ollie 发布新版本,并首次融合了智能体、深度学习、Sim2Real和触觉传感器等技术。 35% 的需求一天内发布上线,70% 的 Bug

2023-08-07

中式存储库的 npm 或 pip 不同,Go 的 decentralized 方法及其基于 VCS 的依赖项获取可能更难监控。使用 GOPROXY 协议作为 crutch 的工具将错过发布到版本控制系统的最新版本,而这些正是最有可能发起供应链攻击的软件包。 No lockfile

2022-10-24

性能。例如,Figma(刚刚被Adobe以200亿美元收购),一个基于浏览器的协作界面设计工具,使用C++构建其渲染引擎,最初将其代码交叉编译到称为asm.js的Javascript子集。在之前因为面临Javascript固有的优化限制,在改用Wasm后Figma的加

2022-11-13

引用执行所需的检查,简单的错误就可能会导致可利用的基于内存的漏洞。软件分析工具可以检测到许多内存管理问题的实例,操作环境选项也可以提供一些保护,但内存安全软件语言所提供的固有保护可以防止或减轻大多数内

2023-10-09

look中的安全工具发出的扫描警报。这是首次记录到ZeroFont网络钓鱼技术以这种方式的使用。【针对 Microsoft 365 的钓鱼即服务平台 Greatness - FreeBuf网络安全行业门户】 3. 谷歌为攻击中利用的libwebp漏洞分配了新的最高CVE编号 谷歌已