一個(gè)新的基于 Go 的僵尸網(wǎng)絡(luò)被發(fā)現(xiàn)使用 WordPress 內(nèi)容管理系統(tǒng) (CMS) 掃描和暴力破解自托管網(wǎng)站，以?shī)Z取對(duì)目標(biāo)系統(tǒng)的控制權(quán)。

這個(gè)新的暴力破解程序我們命名為 GoTrim ，因?yàn)樗怯?Go 編寫(xiě)的，并使用‘:::trim:::’來(lái)拆分與 C2 服務(wù)器通信的數(shù)據(jù)。

自 2022 年 9 月就有發(fā)現(xiàn)其利用機(jī)器人網(wǎng)絡(luò)執(zhí)行分布式暴力攻擊，試圖登錄目標(biāo) Web 服務(wù)器。成功入侵后，攻擊者會(huì)在新受感染的主機(jī)中安裝下載器 PHP 腳本，而該腳本旨在從硬編碼 URL 部署“bot 客戶端”，有效地將機(jī)器添加到不斷增長(zhǎng)的網(wǎng)絡(luò)中。

就目前來(lái)看，GoTrim 沒(méi)有自己的自我傳播能力，也不能分發(fā)其他惡意軟件或在受感染的系統(tǒng)中持久隱藏。該惡意軟件的主要目的是從被控制的服務(wù)器接收更多命令，包括使用提供的憑據(jù)對(duì) WordPress 和 OpenCart 進(jìn)行暴力攻擊。

GoTrim 也可以在服務(wù)器模式下運(yùn)行，在該模式下，它啟動(dòng)服務(wù)器以偵聽(tīng)攻擊者通過(guò)命令和控制 (C2) 服務(wù)器發(fā)送的傳入請(qǐng)求。然而，這僅在被破壞的系統(tǒng)直接連接到 Internet 時(shí)才會(huì)發(fā)生。

僵尸網(wǎng)絡(luò)惡意軟件的另一個(gè)關(guān)鍵特征是它能夠模仿來(lái)64 位 Windows 上的 Mozilla Firefox 瀏覽器的合法請(qǐng)求，以繞過(guò)反機(jī)器人保護(hù)，此外還能解決 WordPress 網(wǎng)站中存在的 CAPTCHA 障礙。

研究人員說(shuō)：“雖然這種惡意軟件仍在開(kāi)發(fā)中，但它具有功能齊全的 WordPress 暴力破解程序以及其反機(jī)器人逃避技術(shù)這一事實(shí)使其成為一個(gè)值得關(guān)注的威脅?！?/p>

暴力破解活動(dòng)很危險(xiǎn)，因?yàn)樗鼈兛赡軙?huì)導(dǎo)致服務(wù)器受損和惡意軟件部署。為降低這種風(fēng)險(xiǎn)，網(wǎng)站管理員應(yīng)確保用戶帳戶（尤其是管理員帳戶）使用強(qiáng)密碼。

參考來(lái)源：https://thehackernews.com/2022/12/new-gotrim-botnet-attempting-to-break.html