Bitxor20 Botnet

บ็อตเน็ตตัวใหม่ที่ใช้ช่องโหว่ของ Log4J ถูกจับโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ภัยคุกคามถูกติดตามในฐานะบอทเน็ต Bitxor20 และเป้าหมายหลักคือระบบ Linux เมื่อเพิ่มเข้าไปในบ็อตเน็ตแล้ว อุปกรณ์ที่ถูกบุกรุกสามารถสั่งทำรายการฟังก์ชันที่คุกคามได้จำนวนมาก ตามรายงานของ Network Security Research Lab (360 Netlab) ของ Qihoo 360 ระบุว่า Bitxor20 รวบรวมข้อมูลที่ละเอียดอ่อน ปรับใช้รูทคิต เปิดเชลล์แบบย้อนกลับ และสร้างเว็บพร็อกซี่

เพื่อไม่ให้มองไม่เห็น ภัยคุกคามใช้วิธีการทันเนล DNS ที่ผ่านการทดลองและเป็นจริง ประการแรก ข้อมูลที่จับได้ทั้งหมด ผลลัพธ์ของคำสั่ง หรือข้อมูลที่จำเป็นอื่นๆ จะถูกเข้ารหัสโดยใช้เทคนิคการเข้ารหัสเฉพาะ จากนั้นจะถูกส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ของการดำเนินการตามคำขอ DNS ในการตอบสนองเซิร์ฟเวอร์ C2 จะส่งคืนเพย์โหลดที่เลือกไปยังอุปกรณ์บอท ผู้สร้างมัลแวร์ควรสังเกตว่าคุณลักษณะที่เป็นอันตรายบางอย่างซึ่งถูกค้นพบโดยเป็นส่วนหนึ่งของ Bitxor20 นั้นเปิดใช้งานโดยผู้สร้างมัลแวร์ ข้อเท็จจริงนี้อาจส่งสัญญาณว่าภัยคุกคามยังอยู่ระหว่างการพัฒนาและอาจรุนแรงขึ้นในอนาคต