Qihoo 360 Netlab 전문가는 Roboto로 공부 봇넷, 이는 올 여름 등장. 봇넷 Roboto로 리눅스 서버에서 Webmin은 취약점을 공격.
나는n 8월 2019, 정보 보안 전문가는 백도어가 Webmin은에서 발견 된 것을보고, 유닉스 시스템을위한 대중적인 시스템 관리 솔루션 (리눅스와 같은, FreeBSD의, 또는 오픈 BSD).취약점 CVE-2019-15107 공격자가 수퍼유저 권한으로 대상 시스템에서 임의의 코드를 실행할 수 있도록 허용.
“취약점을 악용하는 것이 어렵지 않았기 때문에, 버그 정보가 공개된 지 며칠 만에, 취약한 버전의 Webmin이 공격을 받았습니다.", – 쓰다 Qihoo의 전문가 360 Netlab.
공식 개발자에 따르면, 웹민 배꼽 이상 1,000,000 설치. Shodan은 그 이상을 발견했습니다. 230,000 그 중 인터넷을 통해 액세스할 수 있습니다., 그리고 BinaryEdge에 따르면, 이상 470,000 설치가 취약하고 인터넷을 통해 액세스할 수 있습니다.. 당연하지, 해커는 이러한 "소식"을 알아차려야 했습니다..
“Roboto 봇넷은 Webmin의 취약점을 최초로 악용한 것 중 하나입니다.. 8월에 도입 2019, Roboto는 최근 주로 개발에 참여하고 있습니다., 봇넷의 크기뿐만 아니라 진화로, 코드의 복잡성도 마찬가지입니다.", – Qihoo에서 연구원 쓰기 360 Netlab.
봇넷의 주 목적은 분명히 DDoS 공격을 수행하는 것이지만, 전문가들은 아직 Roboto가 하는 것을 눈치채지 못했습니다.. 연구원들은 봇넷 운영자가 대부분 봇넷의 크기를 늘리는 데 바쁘다고 생각합니다., 그들은 아직 실제 공격에 도달하지 않았습니다.
또한 읽기: 유명한 infostealer "에이전트 테슬라는"특이한 점 적기가 있습니다
분석에 따르면, 봇넷은 ICMP를 사용하여 DDoS를 준비할 수 있습니다., HTTP, TCP 및 UDP. 게다가, 로봇, 해킹된 리눅스 머신에 설치, 할 수있다:
- 역 쉘로 작동, 공격자가 감염된 호스트에서 셸 명령을 실행할 수 있도록 합니다.;
- 시스템에 대한 정보 수집, 감염된 서버의 프로세스 및 네트워크;
- 수집된 데이터를 원격 서버에 업로드;
- 실행 시스템 () 명령;
- 원격 URL에서 다운로드한 파일 실행;
- 자신을 삭제.
Roboto의 또 다른 흥미로운 특징은 내부 디자인의 구조입니다.. 여기에서 봇은 P2P 네트워크로 구성되어 관리 서버에서 받은 명령을 서로 전송합니다.. 따라서, 모든 봇이 관리 서버와 개별적으로 통신하는 것은 아닙니다.. 사실 P2P 통신은 DDoS 봇넷에서 흔하지 않습니다. (당신은 기억할 수 있습니다 하지메 과 숨바꼭질 예를 들어 봇넷).
결과, 대부분의 Roboto 봇은 명령을 보내는 단순한 "좀비"입니다., 다른 사람들은 P2P 네트워크를 지원하거나 다른 취약한 Webmin 설치를 검색하여 봇넷의 크기를 늘리기 위해 노력합니다..
