近日，安天追影小組在整理網(wǎng)絡(luò)安全事件時(shí)，針對(duì)Linux平臺(tái)下名為Rex的木馬進(jìn)行了簡(jiǎn)要分析。最初人們認(rèn)為Rex木馬是一個(gè)勒索軟件，利用易受攻擊的Drupal網(wǎng)站加密他們的文件，并索要贖金。而后續(xù)的分析表明，Rex木馬在對(duì)設(shè)備進(jìn)行初始感染之后還具有其他惡意行為，例如啟動(dòng)DDoS攻擊、鎖定網(wǎng)站、挖掘加密貨幣等。經(jīng)分析，Rex木馬樣本更多地作為滲透工具，而不是DDoS攻擊。攻擊者會(huì)利用Drupal，WordPress和Magento網(wǎng)站中的漏洞,來(lái)感染Linux設(shè)備，以及Exagrid，Apache Jetspeed和AirOS家庭路由器等應(yīng)用程序。當(dāng)被攻擊目標(biāo)受到感染后，攻擊者會(huì)向網(wǎng)站管理員發(fā)送電子郵件，進(jìn)行索要比特幣，以此來(lái)威脅發(fā)動(dòng)DDoS攻擊。

      針對(duì)Drupal，Rex木馬會(huì)利用CVE-2014-3704漏洞進(jìn)行感染。此漏洞是一個(gè)SQL注入漏洞，允許木馬病毒創(chuàng)建一個(gè)管理帳戶，因此攻擊者通過它可以控制CMS。針對(duì)WordPress，Rex木馬樣本既不鎖定網(wǎng)站也不顯示贖金提示，而是運(yùn)行其他的惡意功能，試圖利用WordPress 網(wǎng)站中如WooCommerce，Robo Gallery，Rev Slider，WP-squirrel，Site Import，Brandfolder，Issuu Panel和Gwolle Guestbook等插件中的一些安全漏洞。針對(duì)Magento，Rex木馬樣本會(huì)通過Shoplift RCE漏洞(CVE-2015-1397，CVE-2015-1398和CVE-2015-1399)進(jìn)行定位創(chuàng)建一個(gè)管理員帳戶并控制底層Web服務(wù)器。

      Rex木馬還在繼續(xù)演變，其樣本的作者采用了最近泄露的Mirai源代碼，并將其一些組件添加到Rex木馬中。最初，他們移植了用于掃描易受攻擊設(shè)備的Mirai組件并威脅設(shè)備的Telnet端口。不過這個(gè)實(shí)驗(yàn)沒有成功，研究人員跟蹤了Rex樣本的演變，發(fā)現(xiàn)包括Mirai Telnet掃描儀的Rex樣本變體感染力并不強(qiáng)，只能感染大約10個(gè)設(shè)備。由于Rex移植Mirai功能失敗，所以Rex的作者只能從更成熟的loT/Linux惡意軟件去移植。目前，Rex P2P 僵尸網(wǎng)絡(luò)大約可以控制150臺(tái)機(jī)器，用于對(duì)企業(yè)進(jìn)行DDoS攻擊。

      通過對(duì)Rex木馬樣本的分析了解，可以看出惡意代碼感染手段的多樣性，惡意目的各不相同，為了避免企業(yè)與個(gè)人的損失。安天提醒用戶要提高網(wǎng)絡(luò)安全意識(shí)，日常工作使用電腦要養(yǎng)成良 好習(xí)慣，經(jīng)常殺毒，不隨意查看異常郵件，發(fā)現(xiàn)網(wǎng)絡(luò)異常要提高警惕并及時(shí)采取應(yīng)對(duì)措施。目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)Rex惡意樣本的檢出。