近日，國外安全公司Trustwave在互聯(lián)網(wǎng)發(fā)現(xiàn)了一種新的僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)利用老版本CGI-PHP的漏洞來進(jìn)行自動(dòng)化傳播，Trustwave命名該僵尸網(wǎng)絡(luò)為BoSSaBoTv2 。

利用PHP漏洞進(jìn)行自動(dòng)化惡意軟件安裝

在2012年的時(shí)候，PHP爆除了一個(gè)嚴(yán)重的安全漏洞(CVE-2012-1823)php-cgi遠(yuǎn)程代碼執(zhí)行：

PHP處理參數(shù)的傳遞時(shí)存在漏洞，PHP 5.3.12和5.4.2之前的5.4.x中的sapi/cgi/cgi_main.c，當(dāng)配置為CGI腳本(aka php-cgi)時(shí)，沒有正確處理缺少“=”字符的查詢字符串，在特定的配置情況下，遠(yuǎn)程攻擊者可能利用此漏洞在服務(wù)器上獲取腳本源碼或執(zhí)行任意命令。

BoSSaBoTv2利用該漏洞自動(dòng)在互聯(lián)網(wǎng)上查找存在漏洞的服務(wù)器，發(fā)現(xiàn)漏洞后會(huì)嘗試安裝惡意軟件。研究人員還發(fā)現(xiàn)被安裝BoSSaBoTv2的服務(wù)器，會(huì)用來盜取比特幣。專家在經(jīng)過大規(guī)模數(shù)據(jù)調(diào)研后發(fā)現(xiàn)，攻擊者用自動(dòng)化的方式掃描以上漏洞并且分不同的攻擊方式在數(shù)年內(nèi)進(jìn)行操作。

據(jù)Trustwave通過對8月份的蜜罐流量分析發(fā)現(xiàn)，對PHP-CGI的缺陷進(jìn)行攻擊并散播新的僵尸網(wǎng)絡(luò)呈上升的趨勢。

一旦感染了這一病毒，BoSSaBoTv2 病毒就會(huì)允許遠(yuǎn)程攻擊者使用shell或者IRC去控制服務(wù)器。正如在博客中解釋的，它可能用于比特幣的盜取也可能用于DDoS的攻擊。

專家在調(diào)查中發(fā)現(xiàn)原始的網(wǎng)站應(yīng)用攻擊payload并不是像現(xiàn)在的惡意軟件，它們剛開始只是從網(wǎng)外快速的獲得一些信息。

令人擔(dān)憂的是，在近期的攻擊事件中新版本的BoSSaBoTv2病毒在文件中是最難被察覺的：

[Nome file 1] 5453043042be4ad21259bcb9b17e9bd3.exe

[Nome file 2] 097d995b242e387f4bdbfd2b9c9e5dfd9a33acc2_w00ted

研究人員提到，利用C去寫惡意代碼在僵尸網(wǎng)絡(luò)圈子里是非常罕見的事情，一旦攻擊者發(fā)現(xiàn)易受攻擊的服務(wù)器，那么他們就會(huì)試圖安裝64位和32位版本BoSSaBoTv2病毒。根據(jù)專家調(diào)查顯示，攻擊者的目標(biāo)主要在企業(yè)，因?yàn)槠髽I(yè)的系統(tǒng)存儲(chǔ)大，帶寬快。

BoSSaBoTv2需要多少錢?

下載終身的BoSSaBoTv2病毒需要125美元，額外下載基礎(chǔ)程序包需要再付25美元。(小編：價(jià)格真不便宜。。)

僵尸網(wǎng)絡(luò)管理者可通過POST方式發(fā)布指令(通過Base64加密)，以下目錄是會(huì)被BoSSaBoTv2掃描的目標(biāo)：

/cgi-bin/php

/cgi-bin/php4

/cgi-bin/php5

/cgi-bin/php.cgi

/cgi-bin/php-cgi

[參考信息來源security affairs]