[[377434]]

 近日，Check Point研究人員發(fā)現(xiàn)了一系列與FreakOut 僵尸網(wǎng)絡(luò)相關(guān)的攻擊活動(dòng)，主要針對Linux 系統(tǒng)上運(yùn)行的應(yīng)用中的未修復(fù)漏洞。

該僵尸網(wǎng)絡(luò)最早出現(xiàn)在2020年11月，部分攻擊活動(dòng)中使用了最新的一些漏洞來在操作系統(tǒng)命令中注入。攻擊活動(dòng)的主要目標(biāo)是入侵系統(tǒng)來創(chuàng)建IRC僵尸網(wǎng)絡(luò)，然后利用僵尸網(wǎng)絡(luò)進(jìn)行其他惡意活動(dòng)，比如DDOS攻擊和加密貨幣挖礦。

FreakOut感染鏈

圖 FreakOut攻擊流圖

攻擊活動(dòng)利用了最新發(fā)現(xiàn)的3個(gè)漏洞：CVE-2020-28188、CVE-2021-3007和CVE-2020-7961。攻擊者利用這些漏洞可以在被入侵的服務(wù)器上上傳和執(zhí)行python腳本。

CVE-2020-28188

該漏洞是“makecvs” PHP頁面 (/include/makecvs.php)中的“event”參數(shù)缺乏輸入驗(yàn)證。未授權(quán)的遠(yuǎn)程攻擊者可以利用該漏洞來注入操作系統(tǒng)命令，獲取服務(wù)器的控制權(quán)。

圖 利用CVE-2020-28188漏洞的攻擊

CVE-2021-3007

該漏洞是不安全的對象反序列化引起的。在Zend Framework 3.0.0及更高版本中，攻擊者濫用Zend3 從對象中加載類的特征來在服務(wù)器上上傳和執(zhí)行惡意代碼。代碼可以使用“callback”參數(shù)來上傳，并插入惡意代碼。

圖 利用CVE-2021-3007的攻擊

CVE-2020-7961

該漏洞是Liferay Portal的Java 反序列化漏洞。攻擊者利用該漏洞可以提供一個(gè)惡意對象，反序列化時(shí)就可以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

圖 利用CVE-2020-7961的攻擊

漏洞影響

漏洞影響以下產(chǎn)品：

· TerraMaster 操作系統(tǒng)：用于管理TerraMaster NAS設(shè)備的操作系統(tǒng);

· Zend 框架：使用PHP構(gòu)建的web應(yīng)用和服務(wù)包，安裝量超過5.7億次;

· Liferay Portal ：免費(fèi)的開源企業(yè)網(wǎng)關(guān)，是用Java 寫的web應(yīng)用平臺(tái)，可以為網(wǎng)站和網(wǎng)關(guān)開發(fā)提供一些特征。

僵尸網(wǎng)絡(luò)功能

FreakOut 僵尸網(wǎng)絡(luò)具有模塊化的結(jié)構(gòu)，對于每個(gè)支持的功能會(huì)使用特定的函數(shù)。僵尸網(wǎng)絡(luò)的功能包括：

· 端口掃描工具

· 收集系統(tǒng)指紋，包括設(shè)備地址、內(nèi)存信息、系統(tǒng)的TerraMaster操作系統(tǒng)版本等;

· 創(chuàng)建和發(fā)送包：

· 中間人攻擊的ARP投毒;

· 支持UDP、TCP包，同時(shí)支持HTTP、DNS、SSDP、SNMP等應(yīng)用層協(xié)議;

· 暴力破解，使用硬編碼的憑證;

· 處理運(yùn)行時(shí)間錯(cuò)誤異常包;

· 嗅探網(wǎng)絡(luò)：執(zhí)行ARP poisoning功能

· 使用利用函數(shù)來傳播到其他設(shè)備;

· 將自己添加到rc.local 配置中來獲取駐留;

· 發(fā)起DDOS和洪泛攻擊;

· 打開客戶端的反向shell;

· 通過名字或者id kill進(jìn)程。

完整技術(shù)分析報(bào)告參見：https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/

本文翻譯自：https://securityaffairs.co/wordpress/113606/cyber-crime/freakout-botnet.html如若轉(zhuǎn)載，請注明原文地址。