利用FreakOut僵尸网络利用已知漏洞

CheckPoint的研究人员发现了一个名为FreakOut的新僵尸网络，该僵尸网络不仅利用三个已知的软件漏洞来感染Linux系统。随着TrickBot设法制造出足够多的问题，以至于大型技术和执法部门已将其关闭，并取得了不同程度的成功，新的竞争者可能会崛起以填补空白。对于FreakOut来说还处于初期，而如果用户不修补受影响的产品，该恶意软件似乎会传播到新设备并丢弃加密采矿恶意软件，则可能很快就会出现更多危险的恶意软件。

研究人员在2021年1月8日发现了一个活跃的活动，当时他们注意到从hxxp：// gxbrowser [。] net下载了恶意脚本。从那时起，研究人员观察了数百次下载代码的尝试。攻击的目的是使用流行的TerraMaster操作系统，Zend Framework（Laminas Project）或Liferay Portal的漏洞版本感染计算机。在使用更高版本的恶意软件删除XMRig矿机的同时，由于授予攻击者其他恶意软件株的控制级别，可以轻松删除。至于攻击者利用的漏洞，它们都有大量的用户基础，已打补丁并具有易于在线获取的概念验证利用代码。

CVE-2021-3007是一个会影响流行的Zend Framework的错误，Zend Framework为用户提供了专业的PHP软件包，并拥有超过5.7亿的下载量。该错误本身（如果正确利用）允许远程执行代码。第二个错误CVE-2020-28188是一个影响同名NAS设备中使用的TerraMaster操作系统的错误。

该错误被认为是关键错误，并允许远程执行代码，从而可能会完全控制设备。最后，CVE-2020-7961影响了LifeRay Portal，LifeRay Portal是一个流行的平台，允许Java开发人员构建服务，用户界面，自定义应用程序或实现现成的应用程序。有问题的错误会影响开源社区版本，并允许执行任意代码。

侧向感染

任何现代僵尸网络的一项重要功能就是能够在网络中横向传播，从而可以感染更多易受攻击的设备。简单来说，僵尸网络是用于执行多种诈骗和网络攻击的受感染设备的集合。僵尸网络用于发送数百万封垃圾邮件或专门用于网络钓鱼以获取凭据的电子邮件。它们还被用于传播一些世界上更著名的勒索软件，并被用于进行DDoS攻击。由于其固有的实用性，僵尸网络创建者通常会将其作品出租给他人或与其他恶意软件帮派合作以释放额外的收入来源。受攻击者控制的设备越多，创建者的销售量就越大。创建大型僵尸网络的首选方法之一是横向传播。

为此，FreakOut首先使用一个或多个上述漏洞感染Linux计算机，然后运行Python脚本。该脚本是用Python 2编写的，该语言在2020年底达到了使用寿命终止。研究人员认为，使用Python 2，攻击者认为该恶意软件将针对已过时但仍安装了Python 2的系统，并且可能从未修补过该恶意软件针对的任何漏洞。然后，该恶意软件将寻找连接到网络的其他易受攻击的计算机，然后传播到这些计算机，并再次开始执行感染程序。初始化Python脚本后，恶意软件将丢弃加密矿工并开始与攻击者的命令和控制服务器进行通信。Check Point提供了所有恶意软件功能的全面列表，

• 端口扫描实用程序

收集系统指纹
包括设备地址（MAC，IP）和内存信息。这些用于不同功能的代码中，用于不同的系统TerraMaster TOS版本检查

• 创建和发送数据包

中间人攻击的ARP中毒。
支持UDP和TCP数据包，还支持攻击者创建的应用层协议，例如HTTP，DNS，SSDP和SNMP
协议打包支持。

• 蛮力–使用硬编码凭证

通过此列表，恶意软件尝试使用Telnet连接到其他网络设备。该函数接收一个IP范围，并尝试使用给定的凭证强行强制每个IP。如果成功，则将正确凭据的结果保存到文件中，并以消息形式发送到C2服务器

• 处理插座

包括处理运行时错误的异常。
支持与其他设备的多线程通信。这使得机器人可以在监听服务器的同时执行动作

• 嗅探网络

使用“ ARP中毒”功能执行。该机器人将自己设置为其他设备的中间人。截获的数据被发送到C2服务器
，并使用“漏洞利用”功能传播到不同的设备。
随机生成IP以攻击
利用上述CVE（CVE-2020-7961，CVE-2020-28188，CVE-2021-3007）

• 通过将自身添加到rc.local配置中来获得持久性。

• DDOS和泛洪– HTTP，DNS，SYN

Slowlaris的自我实现。该恶意软件会为相关受害者地址创建许多套接字，以发起DDoS攻击

• 打开反向shell –客户端上的shell

• 通过名称或ID终止进程

• 使用混淆技术打包和解压缩代码，以为不同的函数和变量提供随机名称。

鉴于该恶意软件依赖于利用已知的和修补的漏洞，建议使用上述任何软件包的人员确保已下载并安装了最新更新。尽管FreakOut僵尸网络仍处于生命周期的早期阶段，但研究人员警告该僵尸网络在短期内会显着增长，并强调该恶意软件的其他功能可用于更具破坏性的攻击。关于谁可能在恶意软件背后，Check Point研究人员发现了一个有趣的发现，

“在2015年初在Pastebin上找到的由用户“ Keksec”上传的代码，在几个文件中，两个标识“ Fl0urite”和“ Freak”之间似乎存在链接。此外，在这些由“ Freak”签名的文件中，还有指向HackForums上用户“ Fl0urite”的链接。用户上传的其他文件都使用确切的字符串“ Freak @ PopulusControl（又名sudoer）”签名，该字符串似乎也与恶意软件功能相关。根据这些证据，我们得出结论，两个身份都属于同一个人……页面[据信由恶意软件的创建者拥有的URL]在Pastebin文件中观察到的名称为“ keksec”和“ Freak”。也与在IRC服务器中看到的名称“ Keknet”相关联。目前，“ Freak”似乎正在使用它来创建僵尸网络。”

为何黑客针对Linux？

长期以来，针对Linux和基于UNIX的操作系统的恶意软件很少见。许多人认为这是由于Windows具有最大的市场份额。对于黑客来说，将目标对准Windows计算机更有意义，因为那里有更多潜在的受害者。自2016年左右以来，随着报告的特定于Linux和Mac的恶意软件实例呈上升趋势，一种新趋势日益明显。原因之一是Linux允许用户通过其命令行界面进行更高级别的控制。没错，命令行界面没什么好看的，对于初学者来说，它不可能使用，但是一旦您了解了，就可以更好地控制操作系统的运行方式。

另一个原因是多年来，Linux的普及度大大提高。通常，只有开发人员陷入服务器机房并配置网络才能大声疾呼Linux的优点。现在，公共Linux拥有许多易于使用的图形用户界面，已逐渐成为许多人青睐的OS。同样，这也为黑客提供了更多的机会，并且随着越来越多的组织采用Linux，尤其是在创建网络时，目标领域又再次被黑客利用。Linux提供的控制级别及其日益普及的优势，在很大程度上解释了黑客为何将Linux计算机作为攻击目标。

本文始发于微信公众号（Ots安全）：利用FreakOut僵尸网络利用已知漏洞