近日,国外安全公司Trustwave在互联网发现了一种新的僵尸网络,该僵尸网络利用老版本CGI-PHP的漏洞来进行自动化传播,Trustwave命名该僵尸网络为BoSSaBoTv2 。
利用PHP漏洞进行自动化恶意软件安装
在2012年的时候,PHP爆除了一个严重的安全漏洞(CVE-2012-1823)php-cgi远程代码执行:
PHP处理参数的传递时存在漏洞,PHP 5.3.12和5.4.2之前的5.4.x中的sapi/cgi/cgi_main.c,当配置为CGI脚本(aka php-cgi)时,没有正确处理缺少“=”字符的查询字符串,在特定的配置情况下,远程攻击者可能利用此漏洞在服务器上获取脚本源码或执行任意命令。
BoSSaBoTv2利用该漏洞自动在互联网上查找存在漏洞的服务器,发现漏洞后会尝试安装恶意软件。研究人员还发现被安装BoSSaBoTv2的服务器,会用来盗取比特币。专家在经过大规模数据调研后发现,攻击者用自动化的方式扫描以上漏洞并且分不同的攻击方式在数年内进行操作。
据Trustwave通过对8月份的蜜罐流量分析发现,对PHP-CGI的缺陷进行攻击并散播新的僵尸网络呈上升的趋势。
一旦感染了这一病毒,BoSSaBoTv2 病毒就会允许远程攻击者使用shell或者IRC去控制服务器。正如在博客中解释的,它可能用于比特币的盗取也可能用于DDoS的攻击。
专家在调查中发现原始的网站应用攻击payload并不是像现在的恶意软件,它们刚开始只是从网外快速的获得一些信息。
令人担忧的是,在近期的攻击事件中新版本的BoSSaBoTv2病毒在文件中是最难被察觉的:
[Nome file 1] 5453043042be4ad21259bcb9b17e9bd3.exe
[Nome file 2] 097d995b242e387f4bdbfd2b9c9e5dfd9a33acc2_w00ted
研究人员提到,利用C去写恶意代码在僵尸网络圈子里是非常罕见的事情,一旦攻击者发现易受攻击的服务器,那么他们就会试图安装64位和32位版本BoSSaBoTv2病毒。根据专家调查显示,攻击者的目标主要在企业,因为企业的系统存储大,带宽快。
BoSSaBoTv2需要多少钱?
下载终身的BoSSaBoTv2病毒需要125美元,额外下载基础程序包需要再付25美元。(小编:价格真不便宜。。)
僵尸网络管理者可通过POST方式发布指令(通过Base64加密),以下目录是会被BoSSaBoTv2扫描的目标:
/cgi-bin/php
/cgi-bin/php4
/cgi-bin/php5
/cgi-bin/php.cgi
/cgi-bin/php-cgi
[参考信息来源security affairs]