据外媒近日报道,安全专家监测到一种针对 WordPress 安装程序的新型威胁:攻击者可通过僵尸网络 Sathurbot 爆破 WordPress 帐户并利用被入侵网站进行恶意软件传播。
Sathurbot 采取种子传播机制。被入侵网站将被用于托管伪造的电影与软件种子。调查表明,Sathurbot 可自行更新并下载启动其他可执行文件。受害者在搜索电影或下载软件时会收到含有可执行文件的恶意链接,点击该链接可令系统当即加载 Sathurbot DLL,致使受害者机器完全受外界控制。此外,Sathurbot 还执行黑帽 SEO 技术,主要通过搜索引擎提供恶意链接。
据悉,每当成功感染目标网站,恶意软件就会将结果报告至 C&C 服务器并连接监听端口进行通信。Sathurbot 在等待其他指令的同时定期与 C&C 服务器取得联系。机器人将收集到的域名发送至 C&C 服务器,攻击者使用不同机器人尝试对同一网站的不同登录凭据展开分布式 WordPress 密码攻击。由于每个机器人在对每个网站进行一次登陆尝试后即转移至下一个域名,可以有效避免遭受拦截。安全专家表示,攻击者还倾向将目标锁定在运行 CMS 的其他网站,如 Drupal、Joomla、PHP-NUKE、phpFox 与 DEdeCMS 框架网站等。
机器人通过集成 libtorrent 库实现恶意软件传播,但并非所有机器人都执行此功能,其中一些仅作为Web爬虫或用于网站爆破。近期,安全专家在对日志与系统文件进行检查后推测,Sathurbot 至少从 2016 年 6 月起就一直处于活跃状态,迄今已感染逾 20,000 台计算机。
原作者:Pierluigi Paganini , 译者:青楚 ,译审:游弋from hackernews.cc.thanks for it.