新的Roboto僵尸網(wǎng)絡(luò)出現(xiàn) 目標(biāo)是運行Webmin的Linux服務(wù)器

一個網(wǎng)絡(luò)犯罪組織正在奴役運行易受攻擊的Webmin應(yīng)用程序的Linux服務(wù)器進入一個新的僵尸網(wǎng)絡(luò)，安全研究人員目前正在以Roboto的名義對其進行跟蹤。

僵尸網(wǎng)絡(luò)的出現(xiàn)可以追溯到今年夏天，它與一個安裝在超過21.5萬臺服務(wù)器上的網(wǎng)絡(luò)應(yīng)用程序中的一個重大安全漏洞有關(guān)--這是在上面構(gòu)建僵尸網(wǎng)絡(luò)的完美炮灰。

早在8月份，基于web的linux遠程管理應(yīng)用Webmin背后的團隊就發(fā)現(xiàn)并修補了一個漏洞，使得攻擊者能夠以root權(quán)限運行惡意代碼，并接管較早的Webmin版本。

由于安全漏洞容易被利用，以及大量易受攻擊的系統(tǒng)，對Webmin安裝的攻擊在漏洞暴露幾天后就開始了。

在今天發(fā)布的一份報告中(中文、英文)，中國網(wǎng)絡(luò)安全供應(yīng)商奇虎360的NetLab團隊表示，其中一名早期攻擊者是他們目前正在以Roboto名義追蹤的一個新僵尸網(wǎng)絡(luò)。

在過去的三個月里，這個僵尸網(wǎng)絡(luò)一直以Webmin服務(wù)器為目標(biāo)。

根據(jù)研究小組的說法，僵尸網(wǎng)絡(luò)的主要關(guān)注點似乎是擴展，因為僵尸網(wǎng)絡(luò)的規(guī)模越來越大，而且代碼也越來越復(fù)雜。

目前，僵尸網(wǎng)絡(luò)的主要功能似乎是DDoS功能。另一方面，雖然DDoS功能在代碼中，但NetLab表示，他們從未見過僵尸網(wǎng)絡(luò)進行任何DDoS攻擊，而僵尸網(wǎng)絡(luò)運營商似乎在過去幾個月主要關(guān)注的是擴大僵尸網(wǎng)絡(luò)的規(guī)模。

根據(jù)NetLab，DDoS功能可以通過諸如ICMP、HTTP、TCP和UDP之類的矢量來發(fā)起攻擊。但除了DDoS攻擊之外，安裝在入侵的Linux系統(tǒng)（通過Webmin漏洞）的RobotoBot還可以：

但是上面的特性并沒有什么特別之處，因為許多其他物聯(lián)網(wǎng)/DDoS僵尸網(wǎng)絡(luò)都有類似的功能--被認(rèn)為是任何現(xiàn)代僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基本功能。

然而，機器人的獨特之處在于它的內(nèi)部結(jié)構(gòu)。機器人被組織在對等(P2p)網(wǎng)絡(luò)中，它們從中央命令和控制(C&C)服務(wù)器接收到的命令，而不是每個連接到主C&C的機器人。

根據(jù)NetLab，大多數(shù)機器人都是僵尸、中繼命令，但也有一些被選中來支持P2P網(wǎng)絡(luò)，或者作為掃描儀搜索其他易受攻擊的Webmin系統(tǒng)，以進一步擴展僵尸網(wǎng)絡(luò)。

P2P結(jié)構(gòu)之所以值得注意，是因為基于P2P的通信很少出現(xiàn)在DDoS僵尸網(wǎng)絡(luò)中，唯一使用P2P的是Hajime[1，2，3，4]和隱藏‘N’Seek僵尸網(wǎng)絡(luò)。

如果Roboto操作人員不自己關(guān)閉僵尸網(wǎng)絡(luò)，那么將其關(guān)閉將是一項非常艱巨的任務(wù)。Hajime僵尸網(wǎng)絡(luò)的嘗試在過去已經(jīng)失敗，據(jù)一個消息來源說，僵尸網(wǎng)絡(luò)仍然很強大，平均每天有4萬個受感染的機器人，有時達到95000個峰值。

據(jù)消息來源稱，如果機器人能達到這一規(guī)模，還有待確定，但僵尸網(wǎng)絡(luò)并不比Hajime大。