Shellbot 僵尸网络瞄准 Linux 和安卓设备

编译：360代码卫士团队

趋势科技公司警告称，通过 Pearl 构建的一个 IRC 僵尸正在瞄准物联网设备和 Linux 服务器，同时还影响 Windows 系统和安卓设备。

这款恶意软件被称为“Shellbot”，由威胁组织 Outlaw 传播。该组织最近攻陷了一家日本艺术机构的 FTP 服务器和一个孟加拉国政府网站。黑客将被攻陷的服务器连接到高可用性集群，以托管 IRC bouncer 并控制僵尸网络。

此前，Shellbot 是由针对 ShellShock 漏洞的利用代码传播的，它也因此而得名。上个月，IBM 观测到针对 Drupalgeddon2 漏洞 (CVE-2018-7600) 的攻击传播该僵尸网络。

然而，趋势科技调查的攻击活动利用的是此前遭暴力攻击或遭攻陷的用于传播的主机。该僵尸被观测到攻击 Ubuntu 和安卓设备。

安全研究人员通过查看该僵尸网络的 C&C 流量后发现了 IRC 信道的信息并发现首次感染中信道中的约142个主机。

为了感染主机，恶意软件首先在目标上运行命令以验证它接受来自命令行接口的命令。接着，工作目录被更改为“/tmp”，而下载的 payload 在 Perl 解释器中运行。该 payload 在最后一步被删除。

一旦 Shellbot 后门出现并在受感染系统上运行，IRC 信道的管理员能向主机发送命令以执行端口扫描和各种形式的 DDoS，从而下载文件、获取关于其它机器的信息或者发送操作系统信息和某些运行进程的列表。

安全研究员还发现攻击者经常更改托管在 C&C 服务器上文件的内容。对文件的修改、删除和增加一般发生在中欧时区的白天时段，而从未发生在晚上或周末时段。

使用 IRC 僵尸并非新技术，尤其是在这些攻击中使用的代码可从网上找到的情况下。研究人员表示，虽然针对的是大型公司，但威胁组织并未参与大规模的攻击活动。

原文链接

https://www.securityweek.com/shellbot-botnet-targets-linux-android-devices

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。