“Abcbot”一种新的针对Linux的可编程僵尸网络恶意软件

奇虎360的Netlab安全团队的研究人员发布了一种名为“Abcbot”的新型僵尸网络的详细信息。在野外观察到，这种僵尸网络具有类似蠕虫的传播功能，可以感染Linux系统，并对目标发起分布式拒绝服务（DDoS）攻击

虽然最早的僵尸网络版本可追溯到2021年7月，但最近10月30日发现的新变种已经配备了额外的更新，用弱密码攻击Linux Web服务器，并且易受N-Day-漏洞的影响，包括DDoS功能的自定义实现，表明恶意软件正在不断开发中

Netlab的发现还基于上月初Trend Micro的一份报告，该报告公布了针对华为云的加密货币挖掘和加密劫持恶意软件攻击。入侵还值得注意的是，恶意外壳脚本专门禁用了一个程序，该程序旨在监控和扫描服务器的安全问题，并将用户密码重置为弹性云服务

现在据中国互联网安全公司称，这些外壳脚本正被用来传播Abcbot。迄今为止，共观察到六个版本的僵尸网络

一旦安装在受损主机上，该恶意软件会触发一系列步骤的执行，导致受感染的设备被重新用作web服务器，此外还会向指挥与控制（C2）服务器报告系统信息，通过扫描打开的端口将恶意软件传播到新设备，以及在运营商提供新功能时自我更新

“有趣的是，10月21日更新的样本使用开源ATK Rootkit来实现DDoS功能，”研究人员说，这种机制“要求Abcbot在执行DDoS攻击之前下载源代码、编译和加载Rootkit模块。”

“这个过程需要太多步骤，任何一个步骤出错都会导致DDoS功能失败，”研究人员指出，这导致对手在10月30日发布的后续版本中用定制攻击模块替换现成组件，该版本完全放弃了ATK rootkit

一周多前，Netlab安全团队披露了一个“粉色”僵尸网络的详细信息。据信，该僵尸网络感染了主要位于中国的160多万台设备，目的是发起DDoS攻击，并在毫无戒心的用户访问的HTTP网站上插入广告。在一个相关的发展中，AT&amp；T Alien Labs揭开了一个名为“BotenaGo”的新Golang恶意软件的神秘面纱，该软件被发现使用了30多次漏洞攻击，可能会攻击数百万路由器和物联网设备

“这六个月的更新过程与其说是功能的持续升级，不如说是不同技术之间的权衡，”研究人员总结道。“ABCBOT正在慢慢从婴儿期走向成熟期，我们不认为这一阶段是最终的形式，在这个阶段有许多明显的改进或发展的领域。”