linux系统扫描枪（新型Linux僵尸网络变种）

近日，一款基于Linux的僵尸网络新变种“Enemybot”现身，该“Enemybot”被发现已将其攻击目标扩展到针对Web服务器、Android设备和内容管理系统的安全漏洞。有报道称，早在今年3月份，Enemybot就首次被Securonix就披露过，后来又被Fortinet披露。据了解，此次能够执行DDoS攻击的Enemybot是僵尸网络的新变种，且源自其他几个僵尸网络。据报道，EnemyBot属于Keksec僵尸网络家族新成员，同样由Gafgyt修改而来。

近日，一款基于 Linux 的僵尸网络新变种“Enemybot”现身，该“Enemybot”被发现已将其攻击目标扩展到针对 Web 服务器、Android 设备和内容管理系统（CMS）的安全漏洞。

上周，美国电话电报公司外星人实验室（AT&T Alien Labs）在发布的一份技术报告中表示：“该恶意软件（Enemybot）正在迅速将 1day 漏洞作为其攻击能力的一部分”。“VMware Workspace ONE、Adobe ColdFusion、WordPress、PHP Scriptcase 等服务以及 IoT 和 Android 设备都将成为目标。”

有报道称，早在今年 3 月份，Enemybot 就首次被 Securonix 就披露过，后来又被 Fortinet 披露。Enemybot 与一名被追踪为 Keksec（又名 Kek Security、Necro 和 FreakOut）的威胁行为人有关联，早期的攻击目标是来自 Seowon Intech、D-Link 和 iRZ 的路由器。

Enemybot：僵尸网络新变种

所谓僵尸网络“Botnet”，是指采用一种或多种传播手段将大量主机感染 bot 程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。“攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络”。

据了解，此次能够执行 DDoS 攻击的 Enemybot 是僵尸网络的新变种，且源自其他几个僵尸网络（如 Mirai、Qbot、Zbot、Gafgyt 和 LolFMe）。

此次最新变种的分析结果表明，Enemybot 由以上四种僵尸网络的不同部分组合而成：

一个 Python 模块，用于下载依赖项并编译不同 OS 架构的恶意软件
僵尸网络的核心部分
设计用于编码和解码恶意软件字符串的混淆段
用于接收攻击命令和获取额外有效载荷的命令和控制功能

研究人员指出，如果 Android 设备通过 USB 连接，或通过机器上运行的 Android 模拟器连接，EnemyBot 就会尝试通过执行 shell 命令（ "adb_infect"功能）来“感染”它。adb 指的是 Android 调试桥，一种用于与Android 设备通信的命令行实用程序。

此外，EnemyBot 还集成了一个新的扫描功能，该功能旨在搜索与面向公众的资产相关的随机 IP地址，以查找潜在安全缺陷，包括公开披露后几天内出现的新漏洞。

比如除 2021 年 12 月曝光的 Log4Shell 漏洞外，这还包括 Razer Sila 路由器（无 CVE）、VMware Workspace ONE Access（CVE-2022-22954）和 F5 BIG-IP（CVE-2022-1388）中最近修补的缺陷，以及 Video Synchro PDF 等 WordPress 插件中的缺陷。

其他安全缺陷如下：