本周二,阿里安全研究实验室捕捉到全球臭名昭著的黑客组织“蜥蜴小组”(Lizard Squad)”最新的木马蠕虫,该黑客组织擅长动用僵尸网络进行分布式拒绝服务(DDOS攻击),包括去年攻击的索尼娱乐和微软的Xbox。
木马正在利用僵尸网络攻击如下目标:
1、http://www.twit**.tv/
(192.16.71.***)
2、https://www.voxili**.com/
(109.163.224.**)
今年4月份,阿里安全研究实验室首次在智能设备中捕捉到该木马样本时,该僵尸网络的C2(命令控制服务器)节点已经失效,在这个样本挖掘出两个种马服务器和C2服务器,从而推测以上样本应该是第二次变种样本,这两个IP是176.10.XXX.XXX和69.163.XX.XXX。样本中的检测时间分别在2014年10月份和12月份,正是在这两个时间段前后,该组织攻击了索尼PlayStation网络和Xbox在线网络。
据阿里安全介绍,这次最新捕捉到的样本有如下特点:
1.弱口令扫描telnet服务
2.弱口令登录到受害者机器后从木马服务器下载脚本bin2.sh到本地运行,然后通过tftp把各种硬件体系的木马下载下来执行
3.利用busybox的tftp客户端或者wget下载相应的木马蠕虫软件并运行
4.连接C2接受指令,如果下发的是scanner on的指令,它将执行弱口令扫描并感染其它主机
5.停掉telnetd服务和sshd服务,目的是为了防止反复感染同一台机器
6.连接C2接受指令时间频率是5分钟,如果收到攻击某个ip和端口号还是时长,则对该IP进行ddos攻击
7.该僵尸木马共享同一套源代码,分布支持的平台有arm/mips/ppc/mips64/i586/i686/mipsel/mips32/sparc/superh
8.该僵尸木马为了提升兼容性,不会依赖任何动态库,调用api都是以syscall的方式来进行调用
9.该木马会攻击任何具有开放telnet服务且有弱口令的智能设备或系统
据了解,目前只有部分杀毒软件能够查杀此木马。而且,从蜥蜴小组最新的推特消息中得知,其正在计划干下一次行动。阿里安全表示,将通过其僵尸网络的通信协议来监控谁将成为下一个受害者。
附:蜥蜴小队“战绩”
1.2014年8月18日,游戏“英雄联盟”服务器被该组织DDOS攻击打挂,该组织第一次“崭露头角” 2.2014年11月23日,该组织承认DDOS攻击了游戏“命运”的服务器 3.2014年8月24日/12月8日,Sony的PlayStation网络遭受DDOS攻击,该组织表示为此负责 4.2014年12月1日,Xbox在线被该组织攻击 5.2014年12月2日,该组织黑掉了machinima.com网站 6.2014年12月22日,该组织DDOS攻击了朝鲜互联网 7.2014年圣诞攻击,针对Xbox在线和Sony PlayStation网络 8.2014年12月26日,声称攻击了3000多洋葱路由匿名网络的中继节点,不过Tor负责人说言过其实 9.2014年8月24,航班炸弹威胁,FBI介入调查 10.2015年1月26日,DDOS攻击facebook和instagram 11.2015年1月27日,黑掉美国著名歌手Taylor Swift的Twitter和Instagram帐号,宣称要拿她的裸照换比特币