新BoSSaBoTv2僵尸网络针对弱势服务器

admin · 发表于 2014-9-18 21:14

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？立即注册

x

<h2 style="font-size: 1.3em; padding-top: 15px; padding-bottom: 5px; font-family: Arial, Helvetica, sans-serif; line-height: 26.399999618530273px;">Trustwave已经检测到的全球基础上，旧的CGI，PHP的漏洞被利用来传播BoSSaBoTv2一系列新的对服务器的攻击僵尸网络。</h2>这是2012时的安全专家发现了一个安全漏洞（CVE-1812至23年）的一些PHP构建，可以通过威胁的演员被利用来影响服务器上远程执行命令，如果PHP被配置为一个CGI脚本（PHP，CGI ）当时。安全专家最近发现，旧的CGI，PHP的漏洞，现在利用大规模招募机器的僵尸网络  使用的主要目的用来挖掘  比特币。研究人员已经发现不同的侦察活动，大规模，攻击者在扫描以自动方式上的缺陷，而行动是与多年来的各种攻击。

Trustwave，分析与在八月份检测扫描活动的尖峰流量，已经注意到了上扬针对PHP的CGI漏洞部署BoSSaBoTv2攻击BOT。在同一时期，研究人员发现了一个广告网络提供的源代码BoSSaBoTv2  ，只是几个星期后的恶意软件有上升的上网了。一旦被感染的机器中，BoSSaBoTv2恶意软件允许远程攻击者控制使用shell或IRC服务器。如在博客中解释其发布可用于比特币采矿以及用于拒绝服务攻击。<blockquote style="margin-top: 20px; margin-bottom: 20px; margin-left: 20px; padding-left: 20px; border-left-width: 3px; border-left-style: solid; border-left-color: rgb(203, 202, 200); color: rgb(102, 102, 102); font-style: italic; line-height: 1.5em; font-family: Arial, Helvetica, sans-serif; font-size: 13px;">“请注意其中的一些功能，包括集束比特币矿工程序。这很有趣，因为这表明另一个方面是如何攻击者正在滥用其访问被攻破的Web服务器。他们可以抽走本地系统资源，例如CPU和RAM，试图创造比特币。下面是一些对下载和运行的比特币矿工的命令- “报告后，从Trustwave约在BoSSaBoTv2恶意软件实施的采矿功能。</blockquote>下面所用的专家来介绍他们的发现的发言：“我们的网络蜜罐，拿起一些有趣的攻击流量。最初的Web应用程序的攻击向量（PHP，CGI漏洞）是不是新的，恶意软件有效载荷。我们希望得到这个信息到社区迅速因下列组合的威胁因素-<ul style="list-style: none; margin-bottom: 10px; margin-left: 10px; font-family: Arial, Helvetica, sans-serif; font-size: 13px; line-height: 26.399999618530273px;"><li style="margin-top: 5px; margin-bottom: 5px; margin-left: 0px; padding-left: 17px; display: block; background-image: url(http://securityaffairs.co/wordpr ... mages/list-item.gif); background-attachment: initial; background-size: initial; background-origin: initial; background-clip: initial; background-position: 0px 0.3em; background-repeat: no-repeat;">积极利用企图上载/安装恶意软件</li><li style="margin-top: 5px; margin-bottom: 5px; margin-left: 0px; padding-left: 17px; display: block; background-image: url(http://securityaffairs.co/wordpr ... mages/list-item.gif); background-attachment: initial; background-size: initial; background-origin: initial; background-clip: initial; background-position: 0px 0.3em; background-repeat: no-repeat;">杀毒软件厂商之间的整体低检测率</li><li style="margin-top: 5px; margin-bottom: 5px; margin-left: 0px; padding-left: 17px; display: block; background-image: url(http://securityaffairs.co/wordpr ... mages/list-item.gif); background-attachment: initial; background-size: initial; background-origin: initial; background-clip: initial; background-position: 0px 0.3em; background-repeat: no-repeat;">该恶意软件正在积极卖给地下论坛“</li></ul>基于新版本BoSSaBoTv2恶意软件的攻击令人担忧的方面是低的检出率在最近的袭击中使用的二进制文件：<blockquote style="margin-top: 20px; margin-bottom: 20px; margin-left: 20px; padding-left: 20px; border-left-width: 3px; border-left-style: solid; border-left-color: rgb(203, 202, 200); color: rgb(102, 102, 102); font-style: italic; line-height: 1.5em; font-family: Arial, Helvetica, sans-serif; font-size: 13px;">[诺姆文件1]  5453043042be4ad21259bcb9b17e9bd3.exe[诺姆文件2]  097d995b242e387f4bdbfd2b9c9e5dfd9a33acc2_w00ted</blockquote>专家们强调，恶意代码是用C编写，一种情况是罕见的发展 僵尸网络。一旦攻击者发现了一个漏洞的服务器，他们尝试安装64位和32位版本的BoSSaBoTv2恶意软件。据专家介绍，不良行为主要是针对企业的，即租其服务器或共享的，因为企业系统具有最大的计算  能力和连接到更快的通信电缆。需要多少费用BoSSaBoTv2？使用费BoSSBoTv2恶意软件生命周期的更新费用125美元，而基本套餐提供25元支付升级的额外费用。

管理员可以妥协的指标包含POST变量是Base64编码字符串的地方使用：<blockquote style="margin-top: 20px; margin-bottom: 20px; margin-left: 20px; padding-left: 20px; border-left-width: 3px; border-left-style: solid; border-left-color: rgb(203, 202, 200); color: rgb(102, 102, 102); font-style: italic; line-height: 1.5em; font-family: Arial, Helvetica, sans-serif; font-size: 13px;">“抓紧HTTP响应状态码。任何比404其他-未发现可能表明麻烦“规定的岗位从Trustwave。</blockquote>另一个要考虑的因素是以下目录中，我们在这篇文章中所描述的自动扫描成为攻击目标：/ CGI -bin / PHP/ CGI -bin / PHP4/ CGI -bin / PHP5/ CGI -bin / php.cgi/ CGI -bin / PHP - CGI 来源:http://securityaffairs.co/wordpr ... sabotv2-botnet.html

账号		自动登录	找回密码
密码			立即注册

新BoSSaBoTv2僵尸网络针对弱势服务器

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

相关帖子