La botnet B1txor, che si sta diffondendo tramite il difetto Log4Shell, consente agli aggressori di ottenere l'accesso shell ai sistemi Linux e di installare un rootkit.
La società di sicurezza cinese 360Netlab ha scoperto e nominato il bot a febbraio e lo ha divulgato pubblicamente questa settimana. Assume la forma di una backdoor per Linux che utilizza il tunneling DNS per le sue comunicazioni di comando e controllo (C2)
I ricercatori hanno osservato la propagazione del software tramite il difetto Log4Shell nel sistema di registrazione Logj, scoperto per la prima volta a dicembre.
Botnet Linux: i dettagli
Le informazioni sul dominio che utilizza per comunicare con il suo server C2 sono crittografate. Una volta che il client botnet lo ha decrittografato, utilizza una query DNS per inviare le sue comunicazioni al dominio C2, comprese le informazioni rubate e i risultati dell'esecuzione dei comandi. Il server C2 invia il payload successivo nel corpo di una risposta DNS.
Il payload supporta 14 istruzioni, che includono il semplice beaconing al server C2, il caricamento di informazioni di sistema, la lettura e la scrittura di file, l'inoltro del traffico, l'apertura di una shell e l'esecuzione di comandi di sistema arbitrari.
La backdoor può anche avviare un servizio proxy.
La botnet è piena di bug. Secondo il team di Netlab360, una funzione di binding del socket è resa completamente inutilizzabile a causa di errori di codice. Tuttavia, abbastanza codice funziona per renderlo una minaccia.
Presumiamo che l'autore di B1txor20 continuerà a migliorare e aprire diverse funzionalità in base a diversi scenari, quindi forse incontreremo i fratelli di B1txor20 in futuro
hanno affermato in un'analisi del malware.
Le backdoor di Linux sono popolari per attaccare i server che eseguono grandi porzioni di Internet. A novembre, sono stati trovati criminali che ne utilizzavano uno per compromettere siti di e-commerce con uno skimmer software. Ad agosto, Trend Micro ha riferito che gli hacker stavano prendendo di mira versioni obsolete del sistema operativo per ottenere il controllo delle risorse nel cloud.
Il mese scorso, i ricercatori VMware hanno identificato un aumento degli attacchi ransomware contro i server Linux in ambienti operativi multi-cloud e hanno chiesto ulteriori contromisure.