近日,Check Point研究人员发现了一系列FreakOut 僵尸网络相关攻击活动主要针对Linux 系统应用中未修复的漏洞。
僵尸网络最早出现在2020年11月,一些攻击活动使用了一些最新的漏洞来注入操作系统命令。攻击活动的主要目标是创建入侵系统IRC僵尸网络,然后使用僵尸网络进行其他恶意活动,如DDOS攻击和加密货币挖掘。
FreakOut感染链
图 FreakOut攻击流图
利用最新发现的三个漏洞:CVE-2020-28188、CVE-2021-3007和CVE-2020-7961。攻击者可以利用这些漏洞上传和执行入侵服务器python脚本。
CVE-2020-28188
该漏洞是“makecvs” PHP (///)(include/makecvs.php)中的“event”缺乏输入验证。未经授权的远程攻击者可以利用该漏洞注入操作系统命令,获得服务器的控制权。
图 利用CVE-2020-28188漏洞的攻击
CVE-2021-3007
这个漏洞是由不安全的对象反序列化引起的。Zend Framework 3.0.0在更高的版本中,攻击者滥用Zend3 在服务器上传并执行恶意代码,从对象中加载类特征。代码可以使用“callback”上传参数并插入恶意代码。
图 利用CVE-2021-3007的攻击
CVE-2020-7961
该漏洞是Liferay Portal的Java 反序列化漏洞。攻击者可以利用这个漏洞提供恶意对象,远程代码可以在反序列化时执行。
图 利用CVE-2020-7961的攻击
漏洞影响
漏洞影响以下产品:
· TerraMaster 操作系统:管理TerraMaster NAS设备操作系统;
· Zend 框架:使用PHP构建的web安装量超过应用和服务包5.7亿次;
· Liferay Portal :免费开源企业网关Java 写的web应用平台可以为网站和网关开发提供一些特点。
僵尸网络功能
FreakOut 僵尸网络具有模块化结构,每个支持功能都使用特定的函数。僵尸网络的功能包括:
· 端口扫描工具
· 收集设备地址、内存信息和系统指纹TerraMaster操作系统版本等;
· 创建和发包:
· 中间人攻击ARP投毒;
· 支持UDP、TCP包,同时支持HTTP、DNS、SSDP、SNMP等待应用层协议;
· 暴力破解,使用硬编码凭证;
· 处理运行时间错误的异常包;
· 嗅探网络:执行ARP poisoning功能
· 使用函数传输到其他设备;
· 添加自己rc.local 获得驻留配置;
· 发起DDOS和洪;
· 打开客户端的反向shell;
· 通过名字或id kill进程。
参见完整技术分析报告:https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/
本文翻译自:https://securityaffairs.co/wordpress/113606/cyber-crime/freakout-botnet.html如果转载,请注明原始地址。