奇虎 360 的 Netlab 安全团队发现了一个新的 Linux 平台后门木马,其目标是将机器纳入僵尸网络并充当下载和安装 rootkit 的渠道。该后门被命名为 “B1txor20 ”,因为其文件名为 'b1t'、使用 XOR 加密算法和 20 字节的 RC4 算法密钥长度进行传播。
B1txor20 于 2022 年 2 月 9 日首次被观察到通过 Log4j 漏洞传播,它利用 DNS Tunnel 技术,通过在 DNS 查询和响应中编码数据来与命令和控制 (C2) 服务器建立通信通道(支持直连和中继2种方式),同时使用 zlib 压缩,RC4 加密,BASE64 编码的方式保护流量的后门木马,目前通过 Log4j 漏洞传播,主要针对 ARM、X64 CPU 架构的 Linux 平台。
除了传统的后门功能外,B1txor20 还具备开启 Socket5 代理、远程下载安装 Rootkit、 反弹 Shell 等功能,这些功能可以很方便的将被侵入的设备变成跳板,供后续渗透时使用。
目前 B1txor20 的主要功能有以下几点:
- SHELL
- Proxy
- 执行任意命令
- 安装 Rootkit
- 上传敏感信息
但其实 B1txor20 一共支持15个功能,不过有的功能未启用,还有部分功能存在 Bug ... 所以后面极可能出现一些 B1txor20 变种。
B1txor20 工作的基本流程图如下 :
360 netlab 团队的博文中详细介绍了对该木马进行逆向分析的破解过程,结果发现该 B1txor20 背后的团队一口气买了六年的域名:
看来制作团队对自己制造的木马非常有信心。
猜你喜欢:暂无回复。
