发现新威胁！Linux僵尸网络B1txor20利用Log4J漏洞进行传播

背景

自从Log4J漏洞被暴露以来，我们看到越来越多的恶意软件开始流行，Elknot、Gafgyt、Mirai都太熟悉了。2022年2月9日，360Netlab的蜜罐系统捕获了一个通过Log4J漏洞传播的未知ELF文件。事实上，这是一个新的僵尸网络家族，安全团队基于其使用文件名“b1t”、XOR加密算法和20字节的RC4算法密钥长度，把它命名为B1txor20。

简而言之，B1txor20是Linux平台的后门，它使用DNS隧道技术构建C2通信通道。除了传统的后门功能外，B1txor20还具有打开Socket5代理、远程下载和安装Rootkit等功能。

B1txor20概述

安全研究人员总共捕获了四个不同的B1txor20样本，其功能几乎相同，总共支持15个功能号，根据这些功能，B1txor20可以被描述为：使用DNS隧道建立C2通道，支持直接连接和中继，同时使用ZLIB压缩、RC4加密，BASE64编码保护后门特洛伊木马的流量，主要针对Linux平台的ARM、X64 CPU架构。

其基本流程图如下所示：

研究人员还发现，虽然恶意软件的开发人员包含了更广泛的功能，但并非所有功能都已启用。