JPCERT警告一個名為WellMess的惡意軟體,能夠跨平臺的感染Linux和Windows作業系統,供駭客遠端執行任意指令或是傳輸檔案,也能自動化執行任務。JPCERT提到,以往跨平臺的惡意軟體多見以Java開發,但這個WellMess則是由Golang撰寫而成。WellMess的攻擊正在進行中,目前已在一些日本企業內發現其蹤影。

根據JPCERT研究,WellMess使用Golang撰寫,並透過交叉編譯器,能夠在Windows與Linux作業系統上執行。WellMess是以可移植、可執行文件(Portable Excutables,PE)的方式在Windows上運作,而在Linux則是透過可執行與可鏈接格式(Executable and Linkable Format,ELF)執行。

WellMess可以讓駭客執行任意命令,並且也能上傳或下載任意檔案,功能如同是為駭客開了一個方便的後門,另外,也能支援以PowerShell腳本自動化執行任務。JPCERT提到,WellMess使用HTTP請求與C&C伺服器通訊,依照駭客傳送的命令執行功能,命令執行的結果以HTTP POST請求發送,並以RSA加密,而傳輸至C&C伺服器的Cookies,標頭則是以RC6加密,這些動作使得駭客與受感染裝置的通訊能夠規避掃描。

JPCERT在部分日本企業中發現了WellMess,但目前仍不清楚這個攻擊是否只針對日本,日本以外的組織以及個人裝置的影響情形仍不明朗。JPCERT提到,控制感染裝置的C&C伺服器散布在多個國家,包括立陶宛、荷蘭、瑞典、香港和中國。該組織警告,WellMess的攻擊行為現在正在發生當中,企業應提高警覺。

JPCERT提到,過去跨平臺的惡意軟體多數以Java撰寫而成,而WellMess則是以Golang開發的惡意軟體。交叉編譯器不僅讓一般開發者,更容易發布跨作業系統的Golang應用程式,同時也讓駭客更容易開發跨平臺的惡意軟體,不過,用Golang開發惡意軟體有其缺點,因為Golang可執行檔包含數個函式庫,使得整體檔案大小上升,WellMess的檔案大小就高達3MB,以惡意軟體標準來說相當龐大。

另外,WellMess還有另一個版本,是以.Net Framework開發而成,其與C&C伺服器通訊使用的Cookie標頭,與Golang版本相同。JPCERT提到,他們不清楚駭客開發兩個版本的目的,但似乎與選擇的攻擊目標有關。


Advertisement

更多 iThome相關內容