在今年的十一月，Fortinet 旗下的 FortiGuard Labs 發現了一隻以 Go 程式語言所開發的殭屍網路 （botnet），又名為 Zerobot，主要利用 IoT設備的弱點進行傳播。其開發時被設定有多個模組，包含：
（1） 自我複製 （self-replication）
（2） 針對不同的網路協定進行攻擊 （attack for different protocols）
（3） 與 C2 server （comand-and-control server） 使用 WebSocket 協定進行資料傳輸。

據目前了解，攻擊者可能透過此攻擊獲取使用者系統的控制權；主要的受攻擊設備為各類領域組織所使用之 linux 系統，目前，此弱點被歸類為一個嚴重 （critical） 等級的弱點。

 

Zerobot 的攻擊內容與步驟

1. Infection
   Zerobot 利用 IoT 設備的漏洞，取得對於該設備的使用權，並進一步下載一個名為「zero」的程式執行碼，也因此被命名為 Zerobot。
   根據Fortinet團隊針對 Zerobot 的 IPS signature activity 研究發現，Zerobot 在年的 11月中有進行了一次版更新 （現有的script和攻擊版本）。與先前只有基礎功能的版本相比 （基礎功能例如：攻擊、檔案複製、域名欺騙、開啟Http連線與執行惡意程式碼等等）。現版本的 Zerobot 新增了 “selfRepo” （自我複製） 的模組，以利於透過不同的協定，侵入並影響更多的端點。

         舊版程式執行碼
       （圖片來源：https://www.fortinet.com/blog/threat-research/zerobot-new-go-based-botnet-campaign-targets-multiple-vulnerabilities）

         
          新版程式執行碼
        （圖片來源：https://www.fortinet.com/blog/threat-research/zerobot-new-go-based-botnet-campaign-targets-multiple-vulnerabilities）

         

2. Initialization
   一旦 Zerobot 完成下載，它首先會確認設備與 1.1.1.1. （Cloudflare 的DNS resolver server） 連線的位置。並將內部程式依照使用者系統版本複製相應程式碼到設備中：針對 windows 的系統，Zerobot 會將自身複製，安裝於 “Startup” 資料夾中；針對 Linux 系統， Zerobot 會將自身複製，安裝於三種可能的路徑 a. “%HOME%”, “/etc/init/” 以及 “/lib/syustemd/system/” 路徑中。在此複製與安裝過程中，它也會設定 AntiKill （e.x. signal.Notify） 的指令，阻止使用者誤刪或是干擾此安裝過程。
    

3. Commands
   在 Zerobot 完成安裝之後，它會透過 WebSocket protocal 與 C2 server （ws[:]//176[.]65[.]137[.]5/ handle） 連結。惡意攻擊者便會透過此協定，取得包含使用者資料的 JSON 檔案。
   一旦此通訊連結建立完成，受害設備端會等待C2 server的指令，像是：”ping”, “attack”, “stop”, “update”, “kill”, “disable_scan”, “enable_scan” 以及 “command”. （指令說明如下，整理自：https://www.fortinet.com/blog/threat-research/zerobot-new-go-based-botnet-campaign-targets-multiple-vulnerabilities）

 

4. Exploit

目前已知 Zerobot 會利用的21個漏洞與其所對應的設備版本如下方所列 （資料轉載自：https://www.fortinet.com/blog/threat-research/zerobot-new-go-based-botnet-campaign-targets-multiple-vulnerabilities）

結論

Zerobot 是在今年 11月 18 日被發現的以 Go lang 為基礎的新型殭屍網路。它會透過 WebSocket protocol 與攻擊端進行通訊；並在短短的一個月內，完成了數個模組的更新，使其攻擊更難以預防和被發現。若您所使用的設備有出瑪在上方的漏洞與設備版本表格中，請記得更新您的設備版，並定期進行設備的資安安全檢測。

 

參考資源：

1. Zerobot-New Go-Based Botnet Campaign Targets Multiple Vulnerabilities, FORTINET （Dec 6, 2022）- https://www.fortinet.com/blog/threat-research/zerobot-new-go-based-botnet-campaign-targets-multiple-vulnerabilities

2. New Go-Based botnet exploiting exploiting dozens of IoT vulnerabilities to expand its network, The Hacker News （Dec 7, 2022）- https://thehackernews.com/2022/12/new-go-based-zerobot-botnet-exploiting.html