研究人员挑选出暴露真正危险的 Enemybot 混合僵尸网络

安全公司 FortiGuard 的一组研究人员最近发表了一篇博客文章，详细介绍了一种新的僵尸网络恶意软件。该僵尸网络主要专注于提供分布式拒绝服务攻击，并被命名为Enemybot 。

Enemybot 是 Mirai 和 Gafgyt 的混合体

根据 FortiGuard 的说法，Enemybot 有点像变种人，从臭名昭著的Mirai 僵尸网络和Bashlite或Gafgyt 僵尸网络借用代码和模块，从后者借用的更多。这两个僵尸网络家族的源代码都可以在线获得，这一事实使得新的威胁参与者很容易拿起火炬，混合搭配并制作自己的版本，就像 Enemybot 一样。

新的 Enemybot 恶意软件与 Keksec 威胁参与者有关 - 该实体主要以发动以前的分布式拒绝服务 (DDoS) 攻击而闻名。 FortiGuard 在韩国制造商 Seowon Intech 针对路由器硬件以及更流行的 D-Link 路由器的攻击中发现了这种新恶意软件。配置不当的 Android 设备也容易受到恶意软件的攻击。

Enemybot 的真正危险已经暴露。为了攻陷目标设备，Enemybot 使用了广泛的已知漏洞利用和漏洞，包括去年最热门的一个 - Log4j。

Enemybot 针对各种设备

该恶意软件在 /tmp 目录中部署了一个文件，扩展名为 .pwned。 .pwned 文件包含一条简单的文本消息，嘲弄受害者并传达作者是谁，在本例中是 Keksec。

Enemybot 僵尸网络针对几乎所有你能想到的芯片架构，从各种版本的 arm，到标准的 x64 和 x86，再到 bsd 和 spc。

部署后，僵尸网络的有效负载会从 C2 服务器下载二进制文件，这些二进制文件用于运行 DDoS 命令。该恶意软件还具有一定程度的混淆，包括使其 C2 服务器使用 .onion 域。

FortiGuard 认为，由于在不同版本的 .pwned 文件消息中检测到更改，恶意软件仍在积极处理和改进中，可能由多个威胁攻击者组进行。