标签：HTTP 僵尸 恶意软件 代理 Linux 服务器 Stantinko

根据网络安全研究人员的一项新分析，该木马伪装成HTTPd，这是Linux服务器上的常用程序，它是该恶意软件的新版本，被跟踪为Stantinko。

早在2017年，ESET研究人员就详细介绍了一个庞大的广告软件僵尸网络，该僵尸网络通过诱骗寻找盗版软件的用户下载伪装为torrent的恶意可执行文件来安装执行广告注入和点击欺诈的恶意浏览器扩展程序。

自那时以来，黑客秘密行动控制着一支拥有500万机器人的庞大队伍，此后以加密采矿模块的形式进行了重大升级，旨在从受其控制的计算机中获利。

尽管Stantinko传统上一直是Windows恶意软件，但其工具集针对Linux的扩展并没有引起人们的注意，ESET观察到通过恶意二进制文件将Linux木马代理部署到受感染服务器上。

网络安全组织东方联盟的最新研究提供了对该Linux代理的全新见解，特别是同一恶意软件（v1.2）的较新版本（v2.17），称为“ httpd”，其中一个恶意软件样本已于11月7日从俄罗斯上载到VirusTotal。

执行后，“ httpd”将验证与恶意软件一起提供的“ etc / pd.d / proxy.conf”中的配置文件，并通过创建套接字和侦听器以接受研究人员认为与其他人的连接来对其进行跟踪受感染的系统。

来自受感染客户端的HTTP Post请求为代理将请求传递给攻击者控制的服务器铺平了道路，然后由服务器控制，服务器随后通过适当的有效负载进行响应，该有效负载由代理转发回客户端。

如果未受感染的客户端向受感染的服务器发送HTTP Get请求，则会发送回指向配置文件中指定的预配置URL的HTTP 301重定向。

东方联盟研究人员指出，新版本的恶意软件仅可充当代理，新版本与旧版本共享多个功能名称，并且某些硬编码路径与以前的Stantinko活动相似。这种恶意软件是利用受到破坏的Linux服务器的广泛活动的一部分。（欢迎转载分享）

标签：HTTP,僵尸,恶意软件,代理,Linux,服务器,Stantinko
来源： https://www.cnblogs.com/hacker520/p/14034253.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。