Bitxor20 botnet

A Log4J sebezhetőségét kihasználó új botnetet kaptak el kiberbiztonsági szakértők. A fenyegetést Bitxor20 botnetként követik nyomon, és fő célpontjai Linux rendszerek. Miután hozzáadták a botnethez, a feltört eszközöket a fenyegető funkciók nagy listájának végrehajtására lehet parancsolni. Valójában a Qihoo 360 Network Security Research Lab (360 Netlab) jelentése szerint a Bitxor20 érzékeny információkat gyűjt, rootkiteket telepít, fordított shelleket nyit meg és webes proxykat hoz létre.

Hogy láthatatlan maradjon, a fenyegetés a DNS-alagút bevált módszerét használja. Először is, az összes rögzített információt, parancseredményt vagy egyéb szükséges adatot meghatározott kódolási technikák segítségével titkosítják. Ezután DNS-kérésként kézbesítik a művelet Command-and-Control (C2, C&C) szerverére. Válaszul a C2 szerver visszaküld egy kiválasztott hasznos adatot a bot eszköznek. Meg kell jegyezni, hogy bizonyos fenyegető funkciókat, amelyeket a Bitxor20 részeként fedeztek fel, a kártevő készítői engedélyeztek. Ez a tény azt jelezheti, hogy a fenyegetés még mindig aktív fejlesztés alatt áll, és a jövőben még erősebbé válhat.