資安業者Palo Alto Networks旗下的威脅情報團隊Unit 42,最近發現了一個使用Go語言所開發的殭屍網路惡意軟體GoBruteforcer,能夠掃描並感染網頁伺服器,諸如執行phpMyAdmin、MySQL、FTP和Postgres服務的伺服器。GoBruteforcer相容於x86、x64和Arm架構,資安人員表示,GoBruteforcer仍在積極開發中,攻擊者改進其策略和惡意軟體的能力。
GoBruteforcer會選擇一個無類別域間路由(CIDR)區塊,對該CIDR區塊所有IP位址進行掃描,以找出網路中不同IP位址的各種目標主機,像是當GoBruteforcer發現連接埠80開啟,並找到phpMyAdmin服務,便會暴力破解法嘗試登入並且存取受害這伺服器。一旦GoBruteforcer透過phpMyAdmin服務成功入侵受害者伺服器,就能夠在伺服器上部署並執行IRC機器人,IRC機器人充當命令與控制頻道,使惡意攻擊者能夠與受害者伺服器保持通訊。
GoBruteforcer也會搜尋連接埠3306和5432尋找MySQL和Postgres服務,並且使用特定的用戶名和密碼嘗試存取受害者的資料庫,或是以同樣手法從連接埠21入侵FTP伺服器。之後,GoBruteforcer還會嘗試使用PHP網頁殼層(Web Shell)查詢受害者系統。
遭成功入侵的伺服器 /.x/目錄下,可以發現一個名為cache_init的檔案,不過目前研究人員尚未找出,GoBruteforcer和PHP網頁殼層活動的初始感染媒介。PHP網頁殼層是一種由PHP開發的小程式,攻擊者透過將這些小程式植入到網頁伺服器中,方便從遠端存取和操作伺服器。
研究人員從GoBruteforcer惡意軟體雜湊研究得知,GoBruteforcer主要針對類Unix平臺,包含x86、x64以及Arm架構的版本,研究人員猜測,之所以惡意攻擊人員會刻意挑選作業系統,是因為類Unix作業系統是託管伺服器的熱門選擇。
由於GoBruteforcer可能正處在積極開發的階段,所以研究人員推測之後GoBruteforcer的初始感染媒介,或是有效負載可能會發生變化。GoBruteforcer的特別之處之一,在於使用Go程式語言開發,而研究人員也提到,Go越來越受惡意程式開發者歡迎,並且也被證實可以用於開發勒索軟體、竊取程式、遠端存取木馬,現在也被發現可用於開發殭屍網路惡意程式。
另外,GoBruteforcer具有多重掃描功能能夠發現廣泛的目標,而且使用暴力破解法猜出伺服器管理密碼,因此對使用較弱或是預設密碼的網頁伺服器,可能造成嚴重資安威脅。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03