FreakOut 僵尸網(wǎng)絡(luò)分析
近日,Check Point研究人員發(fā)現(xiàn)了一系列與FreakOut 僵尸網(wǎng)絡(luò)相關(guān)的攻擊活動(dòng),主要針對(duì)Linux 系統(tǒng)上運(yùn)行的應(yīng)用中的未修復(fù)漏洞。
該僵尸網(wǎng)絡(luò)最早出現(xiàn)在2020年11月,部分攻擊活動(dòng)中使用了最新的一些漏洞來(lái)在操作系統(tǒng)命令中注入。攻擊活動(dòng)的主要目標(biāo)是入侵系統(tǒng)來(lái)創(chuàng)建IRC僵尸網(wǎng)絡(luò),然后利用僵尸網(wǎng)絡(luò)進(jìn)行其他惡意活動(dòng),比如DDOS攻擊和加密貨幣挖礦。
FreakOut感染鏈
圖 FreakOut攻擊流圖
攻擊活動(dòng)利用了最新發(fā)現(xiàn)的3個(gè)漏洞:CVE-2020-28188、CVE-2021-3007和CVE-2020-7961。攻擊者利用這些漏洞可以在被入侵的服務(wù)器上上傳和執(zhí)行python腳本。
CVE-2020-28188
該漏洞是“makecvs” PHP頁(yè)面 (/include/makecvs.php)中的“event”參數(shù)缺乏輸入驗(yàn)證。未授權(quán)的遠(yuǎn)程攻擊者可以利用該漏洞來(lái)注入操作系統(tǒng)命令,獲取服務(wù)器的控制權(quán)。
圖 利用CVE-2020-28188漏洞的攻擊
CVE-2021-3007
該漏洞是不安全的對(duì)象反序列化引起的。在Zend Framework 3.0.0及更高版本中,攻擊者濫用Zend3 從對(duì)象中加載類的特征來(lái)在服務(wù)器上上傳和執(zhí)行惡意代碼。代碼可以使用“callback”參數(shù)來(lái)上傳,并插入惡意代碼。
圖 利用CVE-2021-3007的攻擊
CVE-2020-7961
該漏洞是Liferay Portal的Java 反序列化漏洞。攻擊者利用該漏洞可以提供一個(gè)惡意對(duì)象,反序列化時(shí)就可以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。
圖 利用CVE-2020-7961的攻擊
漏洞影響
漏洞影響以下產(chǎn)品:
· TerraMaster 操作系統(tǒng):用于管理TerraMaster NAS設(shè)備的操作系統(tǒng);
· Zend 框架:使用PHP構(gòu)建的web應(yīng)用和服務(wù)包,安裝量超過(guò)5.7億次;
· Liferay Portal :免費(fèi)的開(kāi)源企業(yè)網(wǎng)關(guān),是用Java 寫(xiě)的web應(yīng)用平臺(tái),可以為網(wǎng)站和網(wǎng)關(guān)開(kāi)發(fā)提供一些特征。
僵尸網(wǎng)絡(luò)功能
FreakOut 僵尸網(wǎng)絡(luò)具有模塊化的結(jié)構(gòu),對(duì)于每個(gè)支持的功能會(huì)使用特定的函數(shù)。僵尸網(wǎng)絡(luò)的功能包括:
· 端口掃描工具
· 收集系統(tǒng)指紋,包括設(shè)備地址、內(nèi)存信息、系統(tǒng)的TerraMaster操作系統(tǒng)版本等;
· 創(chuàng)建和發(fā)送包:
· 中間人攻擊的ARP投毒;
· 支持UDP、TCP包,同時(shí)支持HTTP、DNS、SSDP、SNMP等應(yīng)用層協(xié)議;
· 暴力破解,使用硬編碼的憑證;
· 處理運(yùn)行時(shí)間錯(cuò)誤異常包;
· 嗅探網(wǎng)絡(luò):執(zhí)行ARP poisoning功能
· 使用利用函數(shù)來(lái)傳播到其他設(shè)備;
· 將自己添加到rc.local 配置中來(lái)獲取駐留;
· 發(fā)起DDOS和洪泛攻擊;
· 打開(kāi)客戶端的反向shell;
· 通過(guò)名字或者id kill進(jìn)程。
完整技術(shù)分析報(bào)告參見(jiàn):https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/
本文翻譯自:https://securityaffairs.co/wordpress/113606/cyber-crime/freakout-botnet.html如若轉(zhuǎn)載,請(qǐng)注明原文地址。
