Gitspaste-12正通过GitHub和Pastebin...
- A
相信关注安全朋友注意到了,近些年来勒索软件都会以已下载受害者数据为要挟,作为要求受害者支付赎金的筹码。
美国安全企业Juniper于2020年11月05日发布预警:监控到一款针对Linux的x86服务器的Gitpaste-12新型僵尸网络。
Gitpaste-12目前主要以基于Linux的x86服务器,以及基于Linux ARM和MIPS的物联网设备作为攻击目标和感染传播。
Gitpaste-12不仅拥有传统僵尸网络的DDOS攻击、恶意挖矿、文件操作等常规功能,还具备了蠕虫自我传播等功能。
Gitpaste-12僵尸网络还可利用GitHub和Pastebin代码等分享平台存储组件代码和多级加载,拥有12种不同攻击模块。
而且,Gitpaste-12还具备禁用安全软件的功能的能力,这就导致了很多安全防护软件难以检测到Gitpaste-12的存在。
Gitpaste-12正是基于上述技术通过独特的蠕虫式传播,在受感染组织的内网中大规模横向传播,具有较强的危害性。
据悉,Gitpaste-12是一款新型蠕虫式僵尸网络,于2020年10月时首次被安全专家检测到,拥有十分先进的技术能力。
Gitpaste-12被检测到第一次攻击后相关的Pastebin URL和git repo被披露后,之后git repo于2020年10月30日关闭。
Gitpaste-12危害系统后会立即设置从Pastebin下载cron任务,Pastebin反过来调用相同脚本并每分钟再次执行一次。
攻击过程中上传到受害者设备中的主shell脚本将开始下载并执行Gitpasse-12的其他组件,从GitHub下载并执行脚本。
之后会下载并设置cron任务,定期从Pastebin下载并执行脚本,并从环境开始剥离防火墙规则、selinux等系统防护。
Gitpaste-12开发者甚至在代码中部署了打算针对阿里云和腾讯提供的公共云计算基础架构等禁用云安全代理的命令。
目前已知Gitpaste-12可利用11个漏洞和telnet暴力破解者进行传播,具备在企业内网自动横向传播的规模破坏能力。