奇虎 360 的 Netlab 安全團隊一個新的 Linux 平臺後門木馬,其目標是將機器納入殭屍網路並充當下載和安裝 rootkit 的渠道。該後門被命名為 「B1txor20 」,因為其檔名為 'b1t'、使用 XOR 加密演演算法和 20 位元組的 RC4 演演算法金鑰長度進行傳播。
B1txor20 於 2022 年 2 月 9 日首次被觀察到通過 Log4j 漏洞傳播,它利用 DNS Tunnel 技術,通過在 DNS 查詢和響應中編碼資料來與命令和控制 (C2) 伺服器建立通訊通道(支援直連和中繼2種方式),同時使用 zlib 壓縮,RC4 加密,BASE64 編碼的方式保護流量的後門木馬,目前通過 Log4j 漏洞傳播,主要針對 ARM、X64 CPU 架構的 Linux 平臺。
除了傳統的後門功能外,B1txor20 還具備開啟 Socket5 代理、遠端下載安裝 Rootkit、 反彈 Shell 等功能,這些功能可以很方便的將被侵入的裝置變成跳板,供後續滲透時使用。
目前 B1txor20 的主要功能有以下幾點:
- SHELL
- Proxy
- 執行任意命令
- 安裝 Rootkit
- 上傳敏感資訊
但其實 B1txor20 一共支援15個功能,不過有的功能未啟用,還有部分功能存在 Bug ... 所以後面極可能出現一些 B1txor20 變種。
B1txor20 工作的基本流程圖如下 :
360 netlab 團隊的詳細介紹了對該木馬進行逆向分析的破解過程,結果發現該 B1txor20 背後的團隊一口氣買了六年的域名:
看來製作團隊對自己製造的木馬非常有信心。