Linux后门程序经由Log4j漏洞散布

igame • 2023年9月9日 09:50 • 投稿

Log4Shell漏洞已经补好了吗？安全厂商发现最新一只后门程序正在网络散布，企图感染尚未修补Log4j漏洞的Linux装置。

自去年Log4j漏洞遭安全研究人员揭露后，已经被各种恶意程序用来发动攻击，包括Elknot、Gafgyt、Mirai、Tsusnami/Muhstik等。今年2月，360 Netlab公司的诱捕系统又拦截到利用Log4j漏洞散布的恶意ELF档案。根据该文件的文件名，以及使用的XOR加密算法及RC4算法密钥长度20bytes，安全厂商将之命名为B1txor20。

简而言之，B1txor20是一只Linux平台的后门程序，利用DNS Tunnel技术建立C&C服务器的通讯连线。 DNS Tunnel攻击是将数据及其他程序或协议编码成DNS查询，可用以在DNS服务器上植入恶意程序，进而远程控制。

图片来源/360 Netlab

研究人员共抓到4只B1txor20样本，总共约支持15项功能，主要功能除了传统后门程序的Shell程序、执行任意指令、上传敏感信息功能外，还能开启Socket5 proxy、以及下载及安装Rootkit。从其行为来看，B1txor20利用DNS Tunnel建立C&C消息通道、支持直接连线或中继传输，也能使用ZLIB压缩、RC4加密、BASE64编码来保护对外流量。它主要攻击目标是ARM、X64 CPU架构的Linux系统。

B1txor20作者虽然开发了许多功能，但很多还尚未使用，有些功能更存在Bug。研究人员认为B1txor20未来还会持续改进，并根据攻击目的启用新功能，或演化出新变种。他们发现恶意程序作者竟然申请了个长达6年的网域，推论是想大干一票。

这是最新一只锁定Linux系统Log4j漏洞的恶意程序。 360 Netlab去年12月也揭露Mirai、Tsunami/Muhstik以及Linux恶意软件SitesLoader攻击Linux装置。