360Netlab的研究人员发现了一种新的P2P 僵尸网络,以Roboto进行跟踪,目标是运行Linux的服务器 未修补 Webmin的安装。
首次看到的Roboto僵尸网络在八月份,此后陆续捕捉到下载器、网络模块等。
“2019年10月11日,捕获了另一个可疑的ELF样本,结果证明它是以前的可疑ELF样本的下载器。”阅读360 Netlab发布的分析。“ Downloader示例从两个硬编码的HTTP URL下载上述Bot程序。其中一个地址将Bot示例伪装成Google字体库“机械手。ttc“,所以我们将其命名为Botnet Roboto。”
对该机器人的分析表明,它支持七个功能:反向外壳程序,自我卸载,收集进程的网络信息,收集Bot信息,执行系统命令,运行URL中指定的加密文件,DDoS攻击等。
研究人员发现DDoS模块实现了四种类型的DDoS攻击(ICMP Flood,HTTP Flood,TCP Flood和UDP Flood),但他们推测DDoS并不是僵尸网络的主要目的。
机器人 僵尸网络通过利用 跟踪为 CVE-2019-15107的Webmin RCE漏洞来破坏系统, 从而在运行易受攻击的安装的Linux服务器上删除其下载器模块。
Webmin 是用于Linux和Unix系统管理的基于Web的开源接口。它允许使用Web浏览器的用户设置用户帐户,Apache,DNS,文件共享等等。该缺陷影响更改过期密码的过程,远程攻击者可以利用后门在运行易受攻击的Webmin的计算机上以root特权执行恶意命令。
后门 影响 Webmin 1.882到1.921,但专家观察到默认配置不易受到攻击,因为默认情况下未启用受影响的功能。默认配置中也仅影响版本1.890。
Webmin 1.930和Usermin版本1.780已解决该漏洞, 无论如何 通过禁用“用户密码更改”选项可以保护系统安全。
通过Shodan搜索 互联网上安装的Webmin安装,可以找到超过233,000个实例,其中大多数位于美国,法国和德国。
单一的bot其P2P结构、Roboto 僵尸网络 , 物联网 DDoS机器人,其他 僵尸网络具有类似能力的是Hajime和 隐藏的’寻求 僵尸网络。
“只有可以签名和签名的攻击消息才能被Roboto节点接受并执行。
Roboto采用的验证方法是ED25519,这是一种公共数字签名算法。同时,检查公钥是:60FF4A4203433AA2333A008C1B305CD80846834B9BE4BBA274F873831F04DF1C,公钥已集成到每个Roboto Bot样本中。”
专家发布的分析中包括其他技术细节,例如IoC。
