校园网络管理中心
安全预警1
SANQUAN
当前位置: 首页  安全预警1
病毒预报 第八百八十期
发布时间2021-03-12      浏览次数:33

国家计算机病毒应急处理中心通过对互联网的监测,发现一种名为“Gafgyt_tor”的僵尸网络新型变种正在针对运行Linux系统的服务器和IoT(物联网)设备进行感染和传播。与传统Gafgyt家族相比,Gafgyt_tor新型变种使用了Tor匿名通信系统进行C2通信以隐藏真实C2(命令控制服务器)地址,并对恶意样本中的敏感字符串进行了加密处理,具有更强的对抗检测和静态分析能力。研究人员通过溯源分析发现,此次发现的Gafgyt_tor僵尸网络新型变种与20211月发现的Necro僵尸网络家族具有关联性,幕后攻击者都是keksec黑客组织,该组织还曾运营过Tsunami和其它Gafgyt变种僵尸网络。 Gafgyt僵尸网络被认为是Mirai僵尸网络的前身,于2015年被首次发现。该僵尸网络利用Linux服务器和IoT设备上的常见的telent弱口令以及命令注入漏洞等方式进行攻击传播,通过感染基于LinuxIoT设备(包括基于Linux系统的路由器、智能摄像头等设备)来发起DDoS攻击,攻击类型以UDPTCPHTTP攻击为主。此次发现的Gafgyt_tor新型变种依然是通过Telnet弱口令和三个远程代码执行漏洞(CVE-2019-16920Liferay Portal RCECitrix CVE-2019-19781)进行传播,攻击者可以通过构造具有固定特征的请求数据发送至目标系统,从而激活触发恶意代码执行。与传统Gafgyt家族不同的是,Gafgyt_torC2通信是基于Tor匿名通信系统建立的,能够有效提高检测和阻断难度。 目前该僵尸网络仍在全球范围内进行感染传播,攻击者通过telent弱口令和漏洞利用的传播方式,使越来越多运行Linux系统的服务器和物联网设备成为Gafgyt僵尸网络的一部分,被用于执行DDoS攻击等恶意行为。