BoSSaBoTv2：一种自动化传播的新型僵尸网络

近日，国外安全公司Trustwave在互联网发现了一种新的僵尸网络，该僵尸网络利用老版本CGI-PHP的漏洞来进行自动化传播，Trustwave命名该僵尸网络为BoSSaBoTv2 。

专业领域包括成都做网站、成都网站建设、商城开发、微信营销、系统平台开发，与其他网站设计及系统开发公司不同，创新互联的整合解决方案结合了帮做网络品牌建设经验和互联网整合营销的理念，并将策略和执行紧密结合，为客户提供全网互联网整合方案。

利用PHP漏洞进行自动化恶意软件安装

在2012年的时候，PHP爆除了一个严重的安全漏洞(CVE-2012-1823)php-cgi远程代码执行：

PHP处理参数的传递时存在漏洞，PHP 5.3.12和5.4.2之前的5.4.x中的sapi/cgi/cgi_main.c，当配置为CGI脚本(aka php-cgi)时，没有正确处理缺少“=”字符的查询字符串，在特定的配置情况下，远程攻击者可能利用此漏洞在服务器上获取脚本源码或执行任意命令。

BoSSaBoTv2利用该漏洞自动在互联网上查找存在漏洞的服务器，发现漏洞后会尝试安装恶意软件。研究人员还发现被安装BoSSaBoTv2的服务器，会用来盗取比特币。专家在经过大规模数据调研后发现，攻击者用自动化的方式扫描以上漏洞并且分不同的攻击方式在数年内进行操作。

据Trustwave通过对8月份的蜜罐流量分析发现，对PHP-CGI的缺陷进行攻击并散播新的僵尸网络呈上升的趋势。

一旦感染了这一病毒，BoSSaBoTv2 病毒就会允许远程攻击者使用shell或者IRC去控制服务器。正如在博客中解释的，它可能用于比特币的盗取也可能用于DDoS的攻击。

专家在调查中发现原始的网站应用攻击payload并不是像现在的恶意软件，它们刚开始只是从网外快速的获得一些信息。

令人担忧的是，在近期的攻击事件中新版本的BoSSaBoTv2病毒在文件中是最难被察觉的：

[Nome file 1] 5453043042be4ad21259bcb9b17e9bd3.exe

[Nome file 2] 097d995b242e387f4bdbfd2b9c9e5dfd9a33acc2_w00ted

研究人员提到，利用C去写恶意代码在僵尸网络圈子里是非常罕见的事情，一旦攻击者发现易受攻击的服务器，那么他们就会试图安装64位和32位版本BoSSaBoTv2病毒。根据专家调查显示，攻击者的目标主要在企业，因为企业的系统存储大，带宽快。

BoSSaBoTv2需要多少钱?

下载终身的BoSSaBoTv2病毒需要125美元，额外下载基础程序包需要再付25美元。(小编：价格真不便宜。)

僵尸网络管理者可通过POST方式发布指令(通过Base64加密)，以下目录是会被BoSSaBoTv2扫描的目标：

/cgi-bin/php

/cgi-bin/php4

/cgi-bin/php5

/cgi-bin/php.cgi

/cgi-bin/php-cgi

[参考信息来源security affairs]

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：贝锐智能

贝锐智能技术为您推荐以下文章