近日，國外安全公司Trustwave在互聯(lián)網(wǎng)發(fā)現(xiàn)了一種新的僵尸網(wǎng)絡，該僵尸網(wǎng)絡利用老版本CGI-PHP的漏洞來進行自動化傳播，Trustwave命名該僵尸網(wǎng)絡為BoSSaBoTv2 。

利用PHP漏洞進行自動化惡意軟件安裝

在2012年的時候，PHP爆除了一個嚴重的安全漏洞(CVE-2012-1823)php-cgi遠程代碼執(zhí)行：

PHP處理參數(shù)的傳遞時存在漏洞，PHP 5.3.12和5.4.2之前的5.4.x中的sapi/cgi/cgi_main.c，當配置為CGI腳本(aka php-cgi)時，沒有正確處理缺少“=”字符的查詢字符串，在特定的配置情況下，遠程攻擊者可能利用此漏洞在服務器上獲取腳本源碼或執(zhí)行任意命令。

BoSSaBoTv2利用該漏洞自動在互聯(lián)網(wǎng)上查找存在漏洞的服務器，發(fā)現(xiàn)漏洞后會嘗試安裝惡意軟件。研究人員還發(fā)現(xiàn)被安裝BoSSaBoTv2的服務器，會用來盜取比特幣。專家在經(jīng)過大規(guī)模數(shù)據(jù)調研后發(fā)現(xiàn)，攻擊者用自動化的方式掃描以上漏洞并且分不同的攻擊方式在數(shù)年內(nèi)進行操作。

據(jù)Trustwave通過對8月份的蜜罐流量分析發(fā)現(xiàn)，對PHP-CGI的缺陷進行攻擊并散播新的僵尸網(wǎng)絡呈上升的趨勢。

一旦感染了這一病毒，BoSSaBoTv2 病毒就會允許遠程攻擊者使用shell或者IRC去控制服務器。正如在博客中解釋的，它可能用于比特幣的盜取也可能用于DDoS的攻擊。

專家在調查中發(fā)現(xiàn)原始的網(wǎng)站應用攻擊payload并不是像現(xiàn)在的惡意軟件，它們剛開始只是從網(wǎng)外快速的獲得一些信息。

令人擔憂的是，在近期的攻擊事件中新版本的BoSSaBoTv2病毒在文件中是最難被察覺的：

[Nome file 1] 5453043042be4ad21259bcb9b17e9bd3.exe

[Nome file 2] 097d995b242e387f4bdbfd2b9c9e5dfd9a33acc2_w00ted

研究人員提到，利用C去寫惡意代碼在僵尸網(wǎng)絡圈子里是非常罕見的事情，一旦攻擊者發(fā)現(xiàn)易受攻擊的服務器，那么他們就會試圖安裝64位和32位版本BoSSaBoTv2病毒。根據(jù)專家調查顯示，攻擊者的目標主要在企業(yè)，因為企業(yè)的系統(tǒng)存儲大，帶寬快。

BoSSaBoTv2需要多少錢?

下載終身的BoSSaBoTv2病毒需要125美元，額外下載基礎程序包需要再付25美元。(小編：價格真不便宜。。)

僵尸網(wǎng)絡管理者可通過POST方式發(fā)布指令(通過Base64加密)，以下目錄是會被BoSSaBoTv2掃描的目標：

/cgi-bin/php

/cgi-bin/php4

/cgi-bin/php5

/cgi-bin/php.cgi

/cgi-bin/php-cgi

[參考信息來源security affairs]