<跨风格=" background - color: # ffffff;颜色:# 2 b2d41 ">奇360年虎的Netlab安全团队发现了一个新的 Linux平台后门木马,<跨风格=" background - color: # ffffff;颜色:# 2 b2d41 ">其目标是将机器纳入僵尸网络并充当下载和安装rootkit的渠道。该后门被命名为“B1txor20”,因为其文件名为“b1t”,使用XOR加密算法和20字节的RC4算法密钥长度进行传播。
B1txor20于2022年2月9日首次被观察到通过Log4j漏洞传播,它利用DNS隧道技术,通过在DNS查询和响应中编码数据来与命令和控制(C2)服务器建立通信通道(<跨风格=" background - color: # ffffff;颜色:# 3 c484e”>支持直连和中继2种方式), <跨风格=" background - color: # ffffff;颜色:# 3 c484e”>同时使用zlib压缩,RC4加密,BASE64编码的方式保护流量的后门木马,目前通过Log4j漏洞传播,主要针对手臂,X64处理器架构的Linux平台。
除了传统的后门功能外,B1txor20还具备开启Socket5代理,远程下载安装Rootkit, <跨风格=" background - color: # ffffff;颜色:# 3 c484e ">反弹外壳等功能<跨风格=" background - color: # ffffff;颜色:# 3 c484e”>,这些功能可以很方便的将被侵入的设备变成跳板,供后续渗透时使用。
目前B1txor20 <跨风格=" background - color: # ffffff;颜色:# 3 c484e”>的主要功能有以下几点:
<李>壳李 <李> 代理 <李>执行任意命令李 <李>安装Rootkit李 <李>上传敏感信息李<跨风格=" background - color: # ffffff;颜色:# 3 c484e ">但其实 B1txor20 <跨风格=" background - color: # ffffff;颜色:# 3 c484e”>一共支持15个功能,不过有的功能未启用,还有部分功能存在错误……所以后面极可能出现一些 B1txor20 <跨风格=" background - color: # ffffff;颜色:# 3 c484e ">变种。
B1txor20工作的<跨风格=" background - color: # ffffff;颜色:# 3 c484e”>基本流程图如下:
<跨风格=" background - color: # ffffff;颜色:# 3 c484e ">
360 netlab团队的博文中详细介绍了对该木马进行逆向分析的破解过程,结果发现该B1txor20背后的团队一口气买了六年的域名:
看来制作团队对自己制造的木马非常有信心。
0 留言