据奇虎360 Netlab 安全团队3月15日披露，一种新的恶意软件正通过 Log4J 漏洞针对Linux 系统，能够将目标设备纳入僵尸网络并充当下载和安装rootkit 的渠道。

据介绍，2月9日，360Netlab的蜜罐系统捕获了一个通过Log4J漏洞传播的未知ELF文件，该文件生成的网络流量在系统中触发了DNS 隧道警报，经过查看，认定是一个全新的僵尸网络家族。安全团队基于其使用文件名 “b1t”、XOR 加密算法和 20 字节的 RC4 算法密钥长度，把它命名为B1txor20。

B1txor20用一种称为 DNS 隧道的技术，通过在 DNS 查询和响应中编码数据来与C2服务器建立通信通道。虽然在某些方面也存在缺陷，但目前支持获取 shell、执行任意命令、安装 rootkit、打开SOCKS5 代理以及将敏感信息上传回 C2 服务器的功能。一旦设备被成功入侵，B1txor20就会利用 DNS 隧道来检索和执行服务器发送的命令。

B1txor20基本流程

研究人员也发现还有一些开发出的特性没有启用，因此猜测B1txor20的开发者会根据不同的应用场景不断改进和开放不同的功能，说不定未来会遇到B1txor20的衍生版本。

参考来源：https://blog.netlab.360.com/b1txor20-use-of-dns-tunneling_en/