freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

新的“B1txor20”Linux 僵尸网络正利用 Log4J 漏洞进行传播
2022-03-17 11:20:06
所属地 上海

据奇虎360 Netlab 安全团队3月15日披露,一种新的恶意软件正通过 Log4J 漏洞针对Linux 系统,能够将目标设备纳入僵尸网络并充当下载和安装rootkit 的渠道。

据介绍,2月9日,360Netlab的蜜罐系统捕获了一个通过Log4J漏洞传播的未知ELF文件,该文件生成的网络流量在系统中触发了DNS 隧道警报,经过查看,认定是一个全新的僵尸网络家族。安全团队基于其使用文件名 “b1t”、XOR 加密算法和 20 字节的 RC4 算法密钥长度,把它命名为B1txor20。

B1txor20用一种称为 DNS 隧道的技术,通过在 DNS 查询和响应中编码数据来与C2服务器建立通信通道。虽然在某些方面也存在缺陷,但目前支持获取 shell、执行任意命令、安装 rootkit、打开SOCKS5 代理以及将敏感信息上传回 C2 服务器的功能。一旦设备被成功入侵,B1txor20就会利用 DNS 隧道来检索和执行服务器发送的命令。

B1txor20基本流程

研究人员也发现还有一些开发出的特性没有启用,因此猜测B1txor20的开发者会根据不同的应用场景不断改进和开放不同的功能,说不定未来会遇到B1txor20的衍生版本。

参考来源:https://blog.netlab.360.com/b1txor20-use-of-dns-tunneling_en/

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者