专家发现了一种新的基于 Go 的多平台恶意软件,被追踪为 NKAbuse,这是第一个滥用 NKN 技术的恶意软件。
卡巴斯基全球紧急响应团队 (GERT) 和 GReAT 的研究人员发现了一种名为 NKAbuse 的新型多平台恶意软件。该恶意代码采用 Go 语言编写,是第一个依赖 NKN 技术 在节点之间进行数据交换的恶意软件。恶意代码可以针对各种架构,它支持洪水攻击和后门功能。
NKAbuse 的主要目标是 Linux 桌面,但它也可以针对 MISP 和 ARM 架构。
NKN(New Kind of Network)是一种依赖区块链技术的去中心化点对点网络协议。该协议可实现安全且低成本的数据传输。它旨在解决当前互联网基础设施的局限性,即中心化、低效且容易受到审查。
NKAbuse 恶意软件
个人可以自愿加入NKN网络并运行自己的节点;目前由6万多个节点组成
“从历史上看,恶意软件运营商利用 NKN 等新兴通信协议来与其命令和控制服务器 (C2) 或僵尸主机连接。”阅读卡巴斯基发布的报告。 “这种威胁(ab)使用 NKN 公共区块链协议进行大量洪水攻击,并充当 Linux 系统内部的后门。”
专家认为威胁行为者利用了一个旧的 Struts2 漏洞(跟踪为 CVE-2017-5638)。
攻击者利用该漏洞在服务器上执行命令,将命令传递到标记为“shell”的标头中,并将指令传输到 Bash 执行。一旦被利用,系统就会执行命令来下载初始脚本。
研究人员注意到,该恶意软件缺乏自我传播机制,这意味着初始感染向量是通过利用漏洞部署样本来传递的。
攻击者通常通过执行远程 shell 脚本来安装恶意软件,该脚本下载并执行托管远程服务器的 setup.sh shell 脚本的内容。恶意代码检查操作系统类型以确定第二阶段恶意软件(“app_linux_{ARCH}”),这是实际的恶意软件植入,即托管在同一服务器上。卡巴斯基发现的样本支持以下架构:
- 386
- arm64
- arm
- amd64
- mips
- mipsel
- mips64
- mips64el
NKAbuse 通过使用 cron 作业来维护持久性。
该恶意软件支持多种分布式拒绝服务(DDoS)攻击,以下是洪泛负载列表:
|
命令 |
攻击 |
|
默认/0 |
http_flood_HTTPGetFloodPayload |
|
1 |
http_flood_HTTPPostFloodPayload |
|
2 |
tcp_flood_TCPFloodPayload |
|
3 |
udp_flood_UDPFloodPayload |
|
4 |
ping_flood_PINGFloodPayload |
|
5 |
tcp_syn_flood_TCPSynFloodPayload |
|
6 |
ssl_flood_SSLFloodPayload |
|
7 |
http_slowloris_HTTPSlowlorisPayload |
|
8 |
http_slow_body_HTTPSlowBodyPayload |
|
9 |
http_slow_read_HTTPSlowReadPayload |
|
10 |
icmp_flood_ICMPFloodPayload |
|
11 |
dns_nxdomain_DNSNXDOMAIN有效负载 |
NKAbuse 还支持多种后门功能,使其成为强大的远程访问木马 (RAT),
“虽然相对罕见,但像 NKAbuse 这样的新型跨平台泛洪器和后门通过利用不太常见的通信协议而脱颖而出。这种特殊的植入物似乎是为了集成到僵尸网络而精心设计的,但它可以适应在特定主机中充当后门的功能。”报告总结道。 “此外,它对区块链技术的使用确保了可靠性和匿名性,这表明该僵尸网络有可能随着时间的推移稳步扩张,似乎缺乏可识别的中央控制器。”
评论