近日,Check Point研究人员发现了一系列与FreakOut 僵尸网络相关的攻击活动,主要针对Linux 系统上运行的应用中的未修复漏洞。
该僵尸网络最早出现在2020年11月,部分攻击活动中使用了最新的一些漏洞来在操作系统命令中注入。攻击活动的主要目标是入侵系统来创建IRC僵尸网络,然后利用僵尸网络进行其他恶意活动,比如DDOS攻击和加密货币挖矿。
FreakOut感染链
图 FreakOut攻击流图
攻击活动利用了最新发现的3个漏洞:CVE-2020-28188、CVE-2021-3007和CVE-2020-7961。攻击者利用这些漏洞可以在被入侵的服务器上上传和执行python脚本。
CVE-2020-28188
该漏洞是“makecvs” PHP页面 (/include/makecvs.php)中的“event”参数缺乏输入验证。未授权的远程攻击者可以利用该漏洞来注入操作系统命令,获取服务器的控制权。
图 利用CVE-2020-28188漏洞的攻击
CVE-2021-3007
该漏洞是不安全的对象反序列化引起的。在Zend Framework 3.0.0及更高版本中,攻击者滥用Zend3 从对象中加载类的特征来在服务器上上传和执行恶意代码。代码可以使用“callback”参数来上传,并插入恶意代码。
图 利用CVE-2021-3007的攻击
CVE-2020-7961
该漏洞是Liferay Portal的Java 反序列化漏洞。攻击者利用该漏洞可以提供一个恶意对象,反序列化时就可以实现远程代码执行。
图 利用CVE-2020-7961的攻击
漏洞影响
漏洞影响以下产品:
· TerraMaster 操作系统:用于管理TerraMaster NAS设备的操作系统;
· Zend 框架:使用PHP构建的web应用和服务包,安装量超过5.7亿次;
· Liferay Portal :免费的开源企业网关,是用Java 写的web应用平台,可以为网站和网关开发提供一些特征。
僵尸网络功能
FreakOut 僵尸网络具有模块化的结构,对于每个支持的功能会使用特定的函数。僵尸网络的功能包括:
· 端口扫描工具
· 收集系统指纹,包括设备地址、内存信息、系统的TerraMaster操作系统版本等;
· 创建和发送包:
· 中间人攻击的ARP投毒;
· 支持UDP、TCP包,同时支持HTTP、DNS、SSDP、SNMP等应用层协议;
· 暴力破解,使用硬编码的凭证;
· 处理运行时间错误异常包;
· 嗅探网络:执行ARP poisoning功能
· 使用利用函数来传播到其他设备;
· 将自己添加到rc.local 配置中来获取驻留;
· 发起DDOS和洪泛攻击;
· 打开客户端的反向shell;
· 通过名字或者id kill进程。
完整技术分析报告参见:https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/
本文翻译自:https://securityaffairs.co/wordpress/113606/cyber-crime/freakout-botnet.html如若转载,请注明原文地址。
在 DDoS 攻击中,攻击者试图影响合法用户的正常访问,从而影响公司的正常服务。...
最近,各种规模的针对工业领域的网络攻击数量在显著增加,风险在供应链上不断蔓...
5000万美元的赎金,折合人民币3.25亿元,这应是迄今为止勒索攻击团伙开出的最高...
区块链是一种去中心化技术,主要用于保护在线交易的安全性和隐私性,通常还与比...
据外媒报道,加拿大最高隐私监督机构裁定,备受争议的面部识别初创公司Clearview...
iCloud服务器出现故障 日前,不少用户反映自己的 iCloud 功能出现了问题,云盘无...
当你开始涉猎区块链或加密货币时,似乎经常会遇到 PoW、PoS 等烧脑名词。今天,...
俄罗斯联邦劳动和社会保护部发表了一封信,其中告知公务员,其必须在4月1日前清...
我国网民数量如今已超过10亿,这代表着几乎每一个人都和互联网挂着钩,享受着互...
近几年,量子计算领域发展迅速,特别是2020年取得了突破性的成果。创新不断驱动...