Doctor Web的網(wǎng)絡(luò)安全研究專家們在Linux路由器上發(fā)現(xiàn)了一些危險的新型木馬病毒，并對這些木馬進(jìn)行了分析和檢測。其中的一個木馬名為Linux.PNScan.1，它可以感染ARM，MIPS以及PowerPC架構(gòu)的設(shè)備。這個木馬以及帶有這個木馬的應(yīng)用程序可以入侵網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)犯罪分子可以用它來攻擊PHPMyAdmin的管理員控制面板，這個面板是管理人員用來管理關(guān)系數(shù)據(jù)庫的。攻擊者還可以使用這個木馬來對身份驗證證書進(jìn)行暴力破解，從而通過SSH協(xié)議以未經(jīng)授權(quán)的身份獲取存儲在各種設(shè)備以及服務(wù)器中的數(shù)據(jù)。

[[144371]]

這種木馬病毒的傳播方式則讓它顯得更加的獨(dú)特，Doctor Web的安全分析專家推測，病毒的制造者會將原始的Linux.PNScan.1安裝在一個被入侵的路由器上。他們會利用ShellShock漏洞來運(yùn)行一個相應(yīng)的設(shè)置腳本，然后，惡意軟件就加載完成了，這個屬于Linux.BackDoor.Tsunami家族的木馬也就成功地安裝在了這個設(shè)備上，然后它便會通過Linux.PNScan.1進(jìn)行傳播和擴(kuò)散。這個惡意程序只有一個目標(biāo)，就是通過暴力破解來獲取路由器的訪問密碼。如果入侵成功，這個木馬會在路由器中加載一個惡意腳本，這個腳本會根據(jù)路由器的系統(tǒng)架構(gòu)(ARM,MIPS,或者PowerPC)來下載相應(yīng)的后門程序。如果網(wǎng)絡(luò)犯罪分子成功地通過利用Shellshock漏洞來入侵了一臺x86架構(gòu)的Intel計算機(jī)，那么這個腳本還會下載一個相對應(yīng)的后門程序。

Linux.PNScan.1一旦運(yùn)行，它就會開始接收操作參數(shù)，并根據(jù)這些數(shù)據(jù)來決定攻擊的類型以及需要掃描的IP地址范圍。在攻擊的過程中，該木馬會利用遠(yuǎn)程代碼執(zhí)行漏洞來運(yùn)行一個相對應(yīng)的SH腳本。也就是說，該木馬會對Linksys路由器進(jìn)行攻擊，路由器中的惡意程序還會利用HNAP(家庭網(wǎng)絡(luò)管理協(xié)議)中的漏洞以及CVE-2013-2678漏洞。惡意軟件還會使用一個特殊字典，并對登錄系統(tǒng)時所使用的用戶名和密碼組合進(jìn)行破解。除此之外，Linux.PNScan.1還可以用同樣的方法來利用ShellShock漏洞(CVE-2014-6271)以及Fritz!Box路由器系統(tǒng)中的遠(yuǎn)程命令漏洞。

經(jīng)過Dr.Web的安全研究人員鑒定，Linux.PNScan.1用于感染設(shè)備而加載的惡意應(yīng)用程序的類型屬于Linux.BackDoor.Tsunami.133和Linux.BackDoor.Tsunami.144。當(dāng)這些惡意程序滲透進(jìn)了被入侵的路由器之后，它們會將自己添加進(jìn)設(shè)備的自動運(yùn)行列表并在注冊表種進(jìn)行注冊。完成之后，它們就可以通過IRC來控制列表中的服務(wù)器地址，以及與服務(wù)器建立連接。這些后門程序的功能非常的多，它們可以發(fā)動各種分布式拒絕服務(wù)(DDoS)攻擊(包括ACK Flood攻擊，SYN Flood攻擊，以及UDP Flood攻擊)，還可以執(zhí)行入侵者所發(fā)送的相關(guān)命令。比如說，通過執(zhí)行攻擊者所發(fā)出的命令，惡意程序會下載Tool.Linux.BrutePma.1。攻擊者可以使用這個惡意工具來攻擊PHPMyAdmin(用于管理關(guān)系數(shù)據(jù)庫)的管理控制面板。惡意軟件啟動之后，這個腳本會接收需要掃描的IP地址范圍以及兩個導(dǎo)入的文件，其中一個文件是帶有登錄名和密碼組合的字典文件，另一個文件則帶有PMA管理控制面板的路徑信息。

還有一個名為Linux.BackDoor.Tsunami.150的木馬，它可以根據(jù)網(wǎng)絡(luò)犯罪分子所提供的命令來發(fā)動分布式拒絕服務(wù)(DDoS)攻擊，當(dāng)然了，它也可以執(zhí)行其他的惡意行為。這個后門程序可以利用SSH協(xié)議來對遠(yuǎn)程節(jié)點的訪問密碼進(jìn)行暴力破解。如果攻擊成功了，Linux.BackDoor.Tsunami.150會根據(jù)攻擊的類型來執(zhí)行相應(yīng)的腳本，并根據(jù)情況來下載Linux.BackDoor.Tsunami.133或者Linux.BackDoor.Tsunami.144，它還可以執(zhí)行相應(yīng)的腳本來收集設(shè)備操作系統(tǒng)的相關(guān)信息。實際上，Linux.BackDoor.Tsunami家族的后門程序可以幫助攻擊者，在任何一個被入侵的設(shè)備上加載任意一種木馬病毒。

除此之外，Doctor Web的安全研究人員還檢測到了Linux.PNScan.1的一個變種木馬，這個木馬被Dr.Web以Linux.PNScan.1添加進(jìn)了公司的病毒數(shù)據(jù)庫中。不同于它的前身，這種木馬不會嘗試?yán)寐酚上到y(tǒng)中的漏洞，而是使用標(biāo)準(zhǔn)密碼來對遠(yuǎn)程設(shè)備進(jìn)行非法訪問。這種木馬會生成一個IP地址列表，然后通過SSH協(xié)議，并使用下列鍵值對組合來與這些目標(biāo)IP地址進(jìn)行連接：root:root;admin:admin;或者ubnt:ubnt。如果連接建立成功，該木馬會在目標(biāo)設(shè)備的”/tmp/.xs”文件夾中植入并運(yùn)行一系列的文件(根據(jù)路由器的型號，木馬會根據(jù)路由器的系統(tǒng)架構(gòu)(ARM,MIPS,MIPSEL以及x86)來選擇相應(yīng)的文件集合)。Linux.PNSCAN.2會周期性地掃描列表中的設(shè)備，以確保這些設(shè)備仍然處于被感染的狀態(tài)。如果某一設(shè)備中的病毒被清除了，該木馬會在次對這個設(shè)備進(jìn)行感染。

Doctor Web的安全分析專家在網(wǎng)絡(luò)犯罪分子所使用的服務(wù)器上，檢測到了很多其他的惡意程序，其中有一個名為Trojan.Mbot的木馬引起了研究人員的注意。這個木馬專門以WordPress網(wǎng)站，Joomal平臺，以及類似于osCommerce等網(wǎng)上商鋪管理系統(tǒng)的網(wǎng)站為攻擊目標(biāo)。另一個由研究人員檢測到的木馬病毒名為Perl.Ircbot.13。這個木馬的功能是尋找存在于WordPress網(wǎng)站，Joomla，e107以及WHMCS平臺中的漏洞，該木馬還可以在使用了在線商店管理系統(tǒng)的網(wǎng)站中查找漏洞，例如Zen Cart和osCommerce等著名網(wǎng)站。受到攻擊的網(wǎng)站將作為一個代理服務(wù)器，網(wǎng)絡(luò)犯罪分子可以使用這些網(wǎng)站來傳播木馬和惡意軟件。Doctor Web的安全研究專家還檢測到了一個名為Tool.Linux.BruteSmtp.1的惡意程序，這個惡意軟件可以暴力破解SMTP服務(wù)器。除此之外，Doctor Web的安全分析人員還檢測到了一個能夠大規(guī)模發(fā)送垃圾郵件的應(yīng)用程序。這個應(yīng)用程序名為Perl.Spambot.2，這個應(yīng)用程序能夠通過發(fā)送合法的VISA郵件信息，來傳播網(wǎng)絡(luò)釣魚信息。

據(jù)了解，目前已經(jīng)有1439種設(shè)備感染了上述的惡意程序;我們還確定了其中受感染設(shè)備的地理位置分布情況，絕大多數(shù)的設(shè)備感染發(fā)生在日本，還有大量的攻擊發(fā)生在德國，美國以及臺灣等地區(qū)。攻擊事件分布區(qū)域的詳細(xì)信息可以在下面這張圖片中看到：

這些惡意程序的簽名信息已經(jīng)被添加進(jìn)了Dr.Web公司的Linux病毒數(shù)據(jù)庫之中了。