介紹
Zerobot是一種基于Go語言的增強型僵尸網絡惡意軟件,利用web應用程序漏洞并使用物聯網傳播自己。微軟的研究人員已經監視Zerobot幾個月了。Zerobot惡意軟件是作為惡意軟件即服務方案(MAAS)提供的,自從研究人員開始跟蹤它以來,它已經被增強了多次。一個與Zerobot有關的域名是FBI在2022年12月扣押的多個與DDoS-for-hire服務有關的域名之一.
Zerobot會影響一系列設備,包括防火墻設備、路由器和攝像頭,將受感染的設備添加到分布式拒絕服務(DDoS)僵尸網絡中。利用眾多組件,惡意軟件可以感染構建在各種架構和操作系統上的易受攻擊的設備,找到額外的設備進行感染,實現持久性,并攻擊一系列協議。
Zerobot的最新發行版包含了新的功能,例如利用Apache和Apache Spark中的漏洞(分別為CVE-2021-42013和CVE- 2022-33891),以及新的DDoS攻擊能力。
Zerobot獲取設備訪問權限的過程
黑客組織以物聯網設備為目標,因為它們大部分時間都暴露在互聯網上,他們可以利用漏洞入侵那些未打補丁且存在漏洞的脆弱設備。
Zerobot可以對具有不安全配置或默認憑據或弱憑據的設備執行暴力攻擊。除此之外,Zerobot還能夠利用各種新的漏洞,如下表所示:
|
Vulnerability |
Affected Software |
|
CVE-2017-17105 |
CVE-2017-17105 |
|
CVE-2019-10655 |
Grandstream |
|
CVE-2020-25223 |
WebAdmin of Sophos SG UTM |
|
CVE-2021-42013 |
Apache |
|
CVE-2022-31137 |
Roxy-WI |
|
CVE-2022-33891 |
Apache Spark |
|
ZSL-2022-5717 |
MiniDVBlinux |
Zerobot 1.1版本發布后,黑客已經刪除了CVE-2018-12613,這是一個phpMyAdmin漏洞,允許攻擊者查看或執行文件。
研究人員還發現了一個新的跡象,即Zerobot通過接收遠程命令執行已知的漏洞攻擊代碼來控制設備,例如CVE-2022-30023,這是Tenda GPON AC1200路由器中的命令注入漏洞。
一旦黑客獲得了設備訪問權限,他們就會注入一個名為zero.sh的惡意bash腳本,該腳本會下載并試圖執行Zerobot。它會試圖嘗試下載各種Zerobot二進制文件的bash腳本,并嘗試通過暴力方式識別目標的體系結構,并相應地部署有效負載。
Zerobot使用桌面入口、守護進程和服務方法的組合來獲得基于linux的設備上的持久性,如下所示:
桌面入口
Zerobot將自己復制到$HOME/.config/ssh.Service /sshf然后將一個名為sshf.desktop的桌面條目文件寫入同一目錄。舊版本的Linux使用$HOME/。用$HOME/.config/ssh.service代替$HOME/.config/ssh.service
守護進程
將自身復制到/usr/bin/sshf,并在/etc/init/sshf.conf寫入配置。
服務
將自身復制到/etc/sshf并寫入服務配置
在
/lib/system/system/sshf.Service,然后用兩個命令啟用服務(以確保它在引導時啟動):
? systemctl enable sshf
? service enable sshf
增加攻擊能力
黑客組織在最新版本Zerobot中增加了DDoS攻擊功能
這些函數允許黑客攻擊目標資源并使其不可被正常訪問。成功的DDoS攻擊可能會被黑客組織用來勒索贖金。購買這種惡意軟件的人可以根據他們的目標定制攻擊。
下表包含了之前已知的Zerobot功能:
|
Vulnerability |
Affected Software |
|
UDP_LEGIT |
Sends UDP packets without data. |
|
MC_PING |
Meant for DDoS on Minecraft servers. Sends a handshake and status request. |
|
TCP_HANDSHAKE |
Floods with TCP handshakes. |
|
TCP_SOCKET |
Continuously sends random payloads on an open TCP socket. The payload length is customizable. |
|
TLS_SOCKET |
Continuously sends random payloads on an open TLS socket. The payload length is customizable. |
|
HTTP_HANDLE |
Sends HTTP GET requests using a Golang standard library. |
|
HTTP_RAW |
Formats and sends HTTP GET requests. |
|
HTTP_BYPASS |
Sends HTTP GET requests with spoofed headers. |
|
HTTP_NULL |
HTTP headers are each one random byte (not necessarily ascii). |
之前未披露的新功能如下
|
Vulnerability |
Affected Software |
|
CVE-2017-17105 |
CVE-2017-17105 |
|
CVE-2019-10655 |
Grandstream |
|
CVE-2020-25223 |
WebAdmin of Sophos SG UTM |
|
CVE-2021-42013 |
Apache |
|
CVE-2022-31137 |
Roxy-WI |
|
CVE-2022-33891 |
Apache Spark |
|
ZSL-2022-5717 |
MiniDVBLinux |
ZeroBot擴散過程
ZeroBot在獲得持久性后,Zerobot會掃描新的暴露在互聯網上的設備進行感染。然后隨機創建一個0到255之間的數字,并掃描以該值開始的所有ip。使用名為
new_bo.NET_selfRepo_isHoneypot的函數來識別蜜罐IP地址,網絡誘餌會使用這些IP地址來吸引網絡攻擊,并收集有關威脅和試圖訪問資源的信息。該功能包括61個IP子網,防止掃描這些蜜罐的IP地址。用于下載這個RAT的腳本名為impst.sh,如下面的代碼片段所示
結論
Zerobot惡意軟件使用物聯網設備或易受攻擊的軟件來利用和感染受害者的網絡。我們也看到了黑客如何努力提高他們針對受害者的技術,例如通過添加分布式拒絕服務(DDoS),他們也可以用它來索要贖金。
