4000-110-253
FreakOut 僵屍網絡分析. 2021-01-21
近日,Check Point研究人(rén)員發現了一系列與FreakOut 僵屍網絡相關的攻擊活動,主要針對Linux 系統上(shàng)運行(xíng)的應用中的未修複漏洞。
該僵屍網絡最早出現在2020年11月,部分攻擊活動中使用了最新的一些(xiē)漏洞來(lái)在操作(zuò)系統命令中注入。攻擊活動的主要目标是入侵系統來(lái)創建IRC僵屍網絡,然後利用僵屍網絡進行(xíng)其他惡意活動,比如DDOS攻擊和(hé)加密貨币挖礦。
FreakOut感染鏈
圖 FreakOut攻擊流圖
攻擊活動利用了最新發現的3個(gè)漏洞:CVE-2020-28188、CVE-2021-3007和(hé)CVE-2020-7961。攻擊者利用這些(xiē)漏洞可(kě)以在被入侵的服務器(qì)上(shàng)上(shàng)傳和(hé)執行(xíng)python腳本。
CVE-2020-28188
該漏洞是“makecvs” PHP頁面 (/include/makecvs.php)中的“event”參數(shù)缺乏輸入驗證。未授權的遠程攻擊者可(kě)以利用該漏洞來(lái)注入操作(zuò)系統命令,獲取服務器(qì)的控制(zhì)權。
圖 利用CVE-2020-28188漏洞的攻擊
CVE-2021-3007
該漏洞是不安全的對象反序列化引起的。在Zend Framework 3.0.0及更高(gāo)版本中,攻擊者濫用Zend3 從對象中加載類的特征來(lái)在服務器(qì)上(shàng)上(shàng)傳和(hé)執行(xíng)惡意代碼。代碼可(kě)以使用“callback”參數(shù)來(lái)上(shàng)傳,并插入惡意代碼。
圖 利用CVE-2021-3007的攻擊
CVE-2020-7961
該漏洞是Liferay Portal的Java 反序列化漏洞。攻擊者利用該漏洞可(kě)以提供一個(gè)惡意對象,反序列化時(shí)就可(kě)以實現遠程代碼執行(xíng)。
圖 利用CVE-2020-7961的攻擊
漏洞影(yǐng)響
漏洞影(yǐng)響以下産品:
·TerraMaster 操作(zuò)系統:用于管理(lǐ)TerraMaster NAS設備的操作(zuò)系統;
·Zend 框架:使用PHP構建的web應用和(hé)服務包,安裝量超過5.7億次;
·Liferay Portal :免費的開(kāi)源企業網關,是用Java 寫的web應用平台,可(kě)以為(wèi)網站(zhàn)和(hé)網關開(kāi)發提供一些(xiē)特征。
僵屍網絡功能
FreakOut 僵屍網絡具有(yǒu)模塊化的結構,對于每個(gè)支持的功能會(huì)使用特定的函數(shù)。僵屍網絡的功能包括:
·端口掃描工具
· 收集系統指紋,包括設備地址、內(nèi)存信息、系統的TerraMaster操作(zuò)系統版本等;
·創建和(hé)發送包:
·中間(jiān)人(rén)攻擊的ARP投毒;
·支持UDP、TCP包,同時(shí)支持HTTP、DNS、SSDP、SNMP等應用層協議;
·暴力破解,使用硬編碼的憑證;
·處理(lǐ)運行(xíng)時(shí)間(jiān)錯誤異常包;
·嗅探網絡:執行(xíng)ARP poisoning功能
·使用利用函數(shù)來(lái)傳播到其他設備;
·将自己添加到rc.local 配置中來(lái)獲取駐留;
·發起DDOS和(hé)洪泛攻擊;
·打開(kāi)客戶端的反向shell;
·通(tōng)過名字或者id kill進程。
完整技(jì)術(shù)分析報告參見:https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/
參考及來(lái)源:https://securityaffairs.co/wordpress/113606/cyber-crime/freakout-botnet.html
轉自嘶吼網
