Go語言開發的殭屍惡意軟體GoBruteforcer，能聰明掃描網頁伺服器並嘗試暴力破解

2023-06-21

資安業者Palo Alto Networks旗下的威脅情報團隊Unit 42，最近發現了一個使用Go語言所開發的殭屍網路惡意軟體GoBruteforcer，能夠掃描並感染網頁伺服器，諸如執行phpMyAdmin、MySQL、FTP和Postgres服務的伺服器。GoBruteforcer相容於x86、x64和Arm架構，資安人員表示，GoBruteforcer仍在積極開發中，攻擊者改進其策略和惡意軟體的能力。

GoBruteforcer會選擇一個無類別域間路由（CIDR）區塊，對該CIDR區塊所有IP位址進行掃描，以找出網路中不同IP位址的各種目標主機，像是當GoBruteforcer發現連接埠80開啟，並找到phpMyAdmin服務，便會暴力破解法嘗試登入並且存取受害這伺服器。一旦GoBruteforcer透過phpMyAdmin服務成功入侵受害者伺服器，就能夠在伺服器上部署並執行IRC機器人，IRC機器人充當命令與控制頻道，使惡意攻擊者能夠與受害者伺服器保持通訊。

GoBruteforcer也會搜尋連接埠3306和5432尋找MySQL和Postgres服務，並且使用特定的用戶名和密碼嘗試存取受害者的資料庫，或是以同樣手法從連接埠21入侵FTP伺服器。之後，GoBruteforcer還會嘗試使用PHP網頁殼層（Web Shell）查詢受害者系統。

遭成功入侵的伺服器 /.x/目錄下，可以發現一個名為cache_init的檔案，不過目前研究人員尚未找出，GoBruteforcer和PHP網頁殼層活動的初始感染媒介。PHP網頁殼層是一種由PHP開發的小程式，攻擊者透過將這些小程式植入到網頁伺服器中，方便從遠端存取和操作伺服器。

研究人員從GoBruteforcer惡意軟體雜湊研究得知，GoBruteforcer主要針對類Unix平臺，包含x86、x64以及Arm架構的版本，研究人員猜測，之所以惡意攻擊人員會刻意挑選作業系統，是因為類Unix作業系統是託管伺服器的熱門選擇。

由於GoBruteforcer可能正處在積極開發的階段，所以研究人員推測之後GoBruteforcer的初始感染媒介，或是有效負載可能會發生變化。GoBruteforcer的特別之處之一，在於使用Go程式語言開發，而研究人員也提到，Go越來越受惡意程式開發者歡迎，並且也被證實可以用於開發勒索軟體、竊取程式、遠端存取木馬，現在也被發現可用於開發殭屍網路惡意程式。

另外，GoBruteforcer具有多重掃描功能能夠發現廣泛的目標，而且使用暴力破解法猜出伺服器管理密碼，因此對使用較弱或是預設密碼的網頁伺服器，可能造成嚴重資安威脅。

（相關資訊來自iThome）