安全企业PaloAltoNetworks旗下的威胁情报团队Unit42,最近发现了一个使用Go语言所开发的僵尸网络恶意软件GoBruteforcer,能够扫描并感染网页服务器,诸如执行phpMyAdmin、MySQL、FTP和Postgres服务的服务器。GoBruteforcer兼容于x86、x64和Arm架构,安全人员表示,GoBruteforcer仍在积极开发中,攻击者改进其策略和恶意软件的能力。
GoBruteforcer会选择一个无类别域间路由(CIDR)区块,对该CIDR区块所有IP地址进行扫描,以找出网络中不同IP地址的各种目标主机,像是当GoBruteforcer发现连接端口80打开,并找到phpMyAdmin服务,便会暴力破解法尝试登录并且访问受害这服务器。一旦GoBruteforcer通过phpMyAdmin服务成功入侵受害者服务器,就能够在服务器上部署并执行IRC机器人,IRC机器人充当命令与控制频道,使恶意攻击者能够与受害者服务器保持通信。
GoBruteforcer也会搜索连接端口和寻找MySQL和Postgres服务,并且使用特定的用户名和密码尝试访问受害者的数据库,或是以同样手法从连接端口21入侵FTP服务器。之后,GoBruteforcer还会尝试使用PHP网页shell层(WebShell)查询受害者系统。
遭成功入侵的服务器/.x/目录下,可以发现一个名为cache_init的文件,不过目前研究人员尚未找出,GoBruteforcer和PHP网页shell层活动的初始感染媒介。PHP网页shell层是一种由PHP开发的小程序,攻击者通过将这些小程序植入到网页服务器中,方便从远程访问和操作服务器。
研究人员从GoBruteforcer恶意软件散列研究得知,GoBruteforcer主要针对类Unix平台,包含x86、x64以及Arm架构的版本,研究人员猜测,之所以恶意攻击人员会刻意挑选操作系统,是因为类Unix操作系统是托管服务器的热门选择。
由于GoBruteforcer可能正处在积极开发的阶段,所以研究人员推测之后GoBruteforcer的初始感染媒介,或是有效负载可能会发生变化。GoBruteforcer的特别之处之一,在于使用Go程序语言开发,而研究人员也提到,Go越来越受恶意程序开发者欢迎,并且也被证许可以用于开发勒索软件、窃取程序、远程访问木马,现在也被发现可用于开发僵尸网络恶意程序。
另外,GoBruteforcer具有多重扫描功能能够发现广泛的目标,而且使用暴力破解法猜出服务器管理密码,因此对使用较弱或是默认密码的网页服务器,可能造成严重安全威胁。