新發現 Linux 系統蠕蟲 Gitpaste-12,將惡意程式碼托管於 Github 與 Pastebin.png

資安專家發現新種蠕蟲,專門攻擊 x86 Linux 伺服器與 Linux IoT 裝置;該蠕蟲可載入 12 種以上不同的攻擊模組,更把其攻擊程式碼托管於 Github 與 Pastebin。

網通大廠 Juniper 旗下的資安研究團隊 Juniper Threat Labs 日前發表研究報告,指出該單位的資安專家於十月中旬發現新種蠕蟲,專門攻擊 x86 Linux 伺服器,以及以 ARM 和 MIPS 處理器為基礎的 Linux IoT 裝置;該蠕蟲因可載入 12 種以上不同的攻擊模組,所以被稱為「Gitpaste-12」 。

資安專家更發現,Gitpaste-12 把其攻擊模組的程式碼,托管於 Github 與 Pastebin;在感染初期,主要會利用過去已知的 11 種資安漏洞,如 Apache Struts 的 CVE-2017-5638、Asus 路由器的 CVE-2013-5948、Opendreambox Webadmin 擴充套件的 CVE-2017-14135 與 Tenda 路由器的 CVE-2929-10987 等漏洞,利用密碼暴力試誤法等方式入侵系統後,再利用其主要的 shell script 載入並執行後續需要的攻擊用模組。

接著 Gitpaste-12 會先從 Pastebin 下載一段程式碼,設定一個每分鐘執行一次的 cron job,用以進行自我更新;然後 Gitpaste-12 會再從 Github 下載執行攻擊用的程式碼,這段程式碼中包含阻擋系統防毒防駭功能的指令,包括關閉防火牆規則、selinux、apparmor 等防護功能,而且這段程式碼中還包括許多以簡體中文撰寫的程式註解。

資安專家也說,這段程式碼還有不少專門用以阻擋阿里雲、騰訊雲資安防護功能的指令,顯然其攻擊是針對這些雲端服務上的目標而設定。


  • 參考連結

https://blogs.juniper.net/en-us/threat-research/gitpaste-12

https://threatpost.com/gitpaste-12-worm-linux-servers-iot-devices/161016/

    twcert 發表在 痞客邦 留言(0) 人氣()