研究人員挑選出暴露真正危險的 Enemybot 混合殭屍網絡

安全公司 FortiGuard 的一組研究人員最近發表了一篇博客文章，詳細介紹了一種新的殭屍網絡惡意軟件。該殭屍網絡主要專注於提供分佈式拒絕服務攻擊，並被命名為Enemybot 。

Enemybot 是 Mirai 和 Gafgyt 的混合體

根據 FortiGuard 的說法，Enemybot 有點像變種人，從臭名昭著的Mirai 殭屍網絡和Bashlite或Gafgyt 殭屍網絡借用代碼和模塊，從後者藉用的更多。這兩個殭屍網絡家族的源代碼都可以在線獲得，這一事實使得新的威脅參與者很容易拿起火炬，混合搭配並製作自己的版本，就像 Enemybot 一樣。

新的 Enemybot 惡意軟件與 Keksec 威脅參與者有關 - 該實體主要以發動以前的分佈式拒絕服務 (DDoS) 攻擊而聞名。 FortiGuard 在韓國製造商 Seowon Intech 針對路由器硬件以及更流行的 D-Link 路由器的攻擊中發現了這種新惡意軟件。配置不當的 Android 設備也容易受到惡意軟件的攻擊。

Enemybot 的真正危險已經暴露。為了攻陷目標設備，Enemybot 使用了廣泛的已知漏洞利用和漏洞，包括去年最熱門的一個 - Log4j。

Enemybot 針對各種設備

該惡意軟件在 /tmp 目錄中部署了一個文件，擴展名為 .pwned。 .pwned 文件包含一條簡單的文本消息，嘲弄受害者並傳達作者是誰，在本例中為 Keksec。

Enemybot 殭屍網絡針對幾乎所有你能想到的芯片架構，從各種版本的 arm，到標準的 x64 和 x86，再到 bsd 和 spc。

部署後，殭屍網絡的有效負載會從 C2 服務器下載二進製文件，這些二進製文件用於運行 DDoS 命令。該惡意軟件還具有一定程度的混淆，包括使其 C2 服務器使用 .onion 域。

FortiGuard 認為，由於在不同版本的 .pwned 文件消息中檢測到更改，惡意軟件仍在積極處理和改進中，可能由多個威脅攻擊者組進行。