近日,CheckPoint研究人员发现了一系列与FreakOut僵尸网络相关的攻击,主要针对Linux系统上运行的应用程序中未修补的漏洞。该僵尸网络于2020年11月首次出现,部分攻击利用最新的漏洞注入操作系统命令。攻击活动的主要目标是侵入系统创建IRC僵尸网络,然后利用僵尸网络进行其他恶意活动,如DDOS攻击和加密货币挖矿。FreakOut感染链图FreakOut攻击流程图攻击活动利用三个新发现的漏洞:CVE-2020-28188、CVE-2021-3007和CVE-2020-7961。攻击者可以利用这些漏洞在受感染的服务器上上传和执行python脚本。CVE-2020-28188该漏洞是“makecvs”PHP页面(/include/makecvs.php)中的“event”参数缺少输入验证。未经授权的远程攻击者可以利用此漏洞注入操作系统命令并获得对服务器的控制权。图CVE-2021-3007利用CVE-2020-28188漏洞的攻击是由不安全的对象反序列化引起的。在ZendFramework3.0.0及之后的版本中,攻击者利用Zend3从对象中加载类的特性,在服务器端上传并执行恶意代码。可以使用“回调”参数上传代码并插入恶意代码。图使用CVE-2021-3007进行攻击CVE-2020-7961该漏洞为LiferayPortal的Java反序列化漏洞。攻击者可利用该漏洞提供恶意对象,反序列化后可实现远程代码执行。图利用CVE-2020-7961攻击漏洞影响以下产品:TerraMasterOS:用于管理TerraMasterNAS设备的操作系统;ZendFramework:使用PHP构建的Web应用程序和服务包,安装量超过5.7亿次;·LiferayPortal:一个免费的开源企业网关,一个用Java编写的网络应用平台,可以为网站和网关开发提供一些功能。僵尸网络功能FreakOut僵尸网络具有模块化结构,为每个支持的功能使用特定的功能。僵尸网络的功能包括:·端口扫描工具·收集系统指纹,包括设备地址、内存信息、系统铁威马操作系统版本等;·创建和发送数据包:·针对中间人攻击的ARP中毒;·支持UDP、TCP数据包,同时支持HTTP、DNS、SSDP、SNMP等应用层协议;暴力破解,使用硬编码凭据;处理运行时错误异常包;设备;·将自己添加到rc.local配置中以获得驻留权;·发起DDOS和洪水攻击;·打开客户端的反向shell;·按名称或ID终止进程。完整技术分析报告请参考:https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/本文翻译自:https://securityaffairs.co/wordpress/113606/cyber-crime/freakout-botnet.html转载请注明出处。
