安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

新型僵尸网络通过Log4j漏洞攻击Linux设备（3.18）

研究人员最近观察到一种新的僵尸网络恶意软件，它利用Log4j漏洞攻击Linux系统。该僵尸网络试图窃取敏感数据，创建反向外壳，并安装rootkit。

详细情况

据研究人员称，这个名为B1txor20的僵尸网络于2月9日首次被发现。它是针对Linux ARM, X64 CPU架构设备而设计的，利用Apache Log4j日志库中的漏洞来攻击新的主机设备。除了通常的后门功能，该恶意软件还有几个额外的功能，如Socket5代理，下载其他恶意软件，执行任意命令，并安装rootkit。

B1txor20恶意软件使用DNS隧道与C2服务器通信，这使得它难以被检测到。该恶意软件以DNS请求的形式将被盗的信息、任何命令执行的结果或任何其他信息发送到其C2服务器，而C2通过DNS协议将所需的有效负载发送回受害设备。

该恶意软件中有一些功能代码，比如通过Unix域套接字上传特定信息和传递信息，这些代码在执行过程中从未使用过。此外，一些功能还存在bug。这表明该恶意软件还在开发当中。

研究人员表示，尽管僵尸网络参与者使用的DNS隧道和利用Log4j漏洞的方法有些老旧，但却是有效的手段。现实表明，其开发者有兴趣展开进一步开发，使其成为基于Linux的物联网设备的潜在威胁。

参考链接

https://cyware.com/news/new-botnet-targets-linux-devices-via-log4j-vulnerability-250231ad