一個新的基于 Go 的僵尸網(wǎng)絡被發(fā)現(xiàn)使用 WordPress 內(nèi)容管理系統(tǒng) (CMS) 掃描和暴力破解自托管網(wǎng)站，以奪取對目標系統(tǒng)的控制權(quán)。

這個新的暴力破解程序我們命名為 GoTrim ，因為它是用 Go 編寫的，并使用‘:::trim:::’來拆分與 C2 服務器通信的數(shù)據(jù)。

自 2022 年 9 月就有發(fā)現(xiàn)其利用機器人網(wǎng)絡執(zhí)行分布式暴力攻擊，試圖登錄目標 Web 服務器。成功入侵后，攻擊者會在新受感染的主機中安裝下載器 PHP 腳本，而該腳本旨在從硬編碼 URL 部署“bot 客戶端”，有效地將機器添加到不斷增長的網(wǎng)絡中。

就目前來看，GoTrim 沒有自己的自我傳播能力，也不能分發(fā)其他惡意軟件或在受感染的系統(tǒng)中持久隱藏。該惡意軟件的主要目的是從被控制的服務器接收更多命令，包括使用提供的憑據(jù)對 WordPress 和 OpenCart 進行暴力攻擊。

GoTrim 也可以在服務器模式下運行，在該模式下，它啟動服務器以偵聽攻擊者通過命令和控制 (C2) 服務器發(fā)送的傳入請求。然而，這僅在被破壞的系統(tǒng)直接連接到 Internet 時才會發(fā)生。

僵尸網(wǎng)絡惡意軟件的另一個關(guān)鍵特征是它能夠模仿來64 位 Windows 上的 Mozilla Firefox 瀏覽器的合法請求，以繞過反機器人保護，此外還能解決 WordPress 網(wǎng)站中存在的 CAPTCHA 障礙。

研究人員說：“雖然這種惡意軟件仍在開發(fā)中，但它具有功能齊全的 WordPress 暴力破解程序以及其反機器人逃避技術(shù)這一事實使其成為一個值得關(guān)注的威脅。”

暴力破解活動很危險，因為它們可能會導致服務器受損和惡意軟件部署。為降低這種風險，網(wǎng)站管理員應確保用戶帳戶（尤其是管理員帳戶）使用強密碼。

參考來源：https://thehackernews.com/2022/12/new-gotrim-botnet-attempting-to-break.html