新的基于Golang的远程访问木马(RAT)GobRAT正将日本的Linux路由器作为目标。
“起初,攻击者瞄准的是对公众开放的WEBUI路由器,可能通过利用漏洞执行脚本,最后感染GobRAT,”日本计算机应急响应小组协调中心(JPCERT/CC)在今天发布的报告中说。
网络暴露路由器的妥协后,会部署一个加载器脚本,作为传送GobRAT的导管,当启动时,它会伪装成Apache守护进程(apached)以规避检测。
加载器还配备了禁用防火墙的功能,可以使用cron作业调度器建立持久性,并在.ssh/authorized_keys文件中注册SSH公钥以进行远程访问。
GobRAT本身则通过传输层安全性(TLS)协议与远程服务器通信,以接收多达22个不同的加密命令进行执行。
一些主要的命令如下 -
获取机器信息
执行反向shell
读/写文件
配置新的命令和控制(C2)和协议
启动SOCKS5代理
在/zone/frpc中执行文件,并
尝试登录到运行在另一台机器上的sshd、Telnet、Redis、MySQL、PostgreSQL服务
这些发现是在Lumen Black Lotus Labs透露商用级路由器已经被一种名为HiatusRAT的恶意软件用来监视拉丁美洲、欧洲和北美的受害者近三个月后的事情。
原文始发于微信公众号(XDsecurity):威胁情报信息分享|新的远程访问木马“GobRAT”瞄准日本的Linux路由器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论