病毒预报  第八百八十期

国家计算机病毒应急处理中心通过对互联网的监测,发现一种名为“Gafgyt_tor”的僵尸网络新型变种正在针对运行Linux系统的服务器和IoT(物联网)设备进行感染和传播。与传统Gafgyt家族相比,Gafgyt_tor新型变种使用了Tor匿名通信系统进行C2通信以隐藏真实C2(命令控制服务器)地址,并对恶意样本中的敏感字符串进行了加密处理,具有更强的对抗检测和静态分析能力。研究人员通过溯源分析发现,此次发现的Gafgyt_tor僵尸网络新型变种与2021年1月发现的Necro僵尸网络家族具有关联性,幕后攻击者都是keksec黑客组织,该组织还曾运营过Tsunami和其它Gafgyt变种僵尸网络。 Gafgyt僵尸网络被认为是Mirai僵尸网络的前身,于2015年被首次发现。该僵尸网络利用Linux服务器和IoT设备上的常见的telent弱口令以及命令注入漏洞等方式进行攻击传播,通过感染基于Linux的IoT设备(包括基于Linux系统的路由器、智能摄像头等设备)来发起DDoS攻击,攻击类型以UDP、TCP和HTTP攻击为主。此次发现的Gafgyt_tor新型变种依然是通过Telnet弱口令和三个远程代码执行漏洞(CVE-2019-16920、Liferay Portal RCE、Citrix CVE-2019-19781)进行传播,攻击者可以通过构造具有固定特征的请求数据发送至目标系统,从而激活触发恶意代码执行。与传统Gafgyt家族不同的是,Gafgyt_tor的C2通信是基于Tor匿名通信系统建立的,能够有效提高检测和阻断难度。 目前该僵尸网络仍在全球范围内进行感染传播,攻击者通过telent弱口令和漏洞利用的传播方式,使越来越多运行Linux系统的服务器和物联网设备成为Gafgyt僵尸网络的一部分,被用于执行DDoS攻击等恶意行为。






联系方式:
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心