新的Roboto僵尸网络出现 目标是运行Webmin的Linux服务器

一个网络犯罪组织正在奴役运行易受攻击的Webmin应用程序的Linux服务器进入一个新的僵尸网络，安全研究人员目前正在以Roboto的名义对其进行跟踪。

僵尸网络的出现可以追溯到今年夏天，它与一个安装在超过21.5万台服务器上的网络应用程序中的一个重大安全漏洞有关--这是在上面构建僵尸网络的完美炮灰。

早在8月份，基于web的linux远程管理应用Webmin背后的团队就发现并修补了一个漏洞，使得攻击者能够以root权限运行恶意代码，并接管较早的Webmin版本。

由于安全漏洞容易被利用，以及大量易受攻击的系统，对Webmin安装的攻击在漏洞暴露几天后就开始了。

在今天发布的一份报告中(中文、英文)，中国网络安全供应商奇虎360的NetLab团队表示，其中一名早期攻击者是他们目前正在以Roboto名义追踪的一个新僵尸网络。

在过去的三个月里，这个僵尸网络一直以Webmin服务器为目标。

根据研究小组的说法，僵尸网络的主要关注点似乎是扩展，因为僵尸网络的规模越来越大，而且代码也越来越复杂。

目前，僵尸网络的主要功能似乎是DDoS功能。另一方面，虽然DDoS功能在代码中，但NetLab表示，他们从未见过僵尸网络进行任何DDoS攻击，而僵尸网络运营商似乎在过去几个月主要关注的是扩大僵尸网络的规模。

根据NetLab，DDoS功能可以通过诸如ICMP、HTTP、TCP和UDP之类的矢量来发起攻击。但除了DDoS攻击之外，安装在入侵的Linux系统（通过Webmin漏洞）的RobotoBot还可以：

但是上面的特性并没有什么特别之处，因为许多其他物联网/DDoS僵尸网络都有类似的功能--被认为是任何现代僵尸网络基础设施的基本功能。

然而，机器人的独特之处在于它的内部结构。机器人被组织在对等(P2p)网络中，它们从中央命令和控制(C&C)服务器接收到的命令，而不是每个连接到主C&C的机器人。

根据NetLab，大多数机器人都是僵尸、中继命令，但也有一些被选中来支持P2P网络，或者作为扫描仪搜索其他易受攻击的Webmin系统，以进一步扩展僵尸网络。

P2P结构之所以值得注意，是因为基于P2P的通信很少出现在DDoS僵尸网络中，唯一使用P2P的是Hajime[1，2，3，4]和隐藏‘N’Seek僵尸网络。

如果Roboto操作人员不自己关闭僵尸网络，那么将其关闭将是一项非常艰巨的任务。Hajime僵尸网络的尝试在过去已经失败，据一个消息来源说，僵尸网络仍然很强大，平均每天有4万个受感染的机器人，有时达到95000个峰值。

据消息来源称，如果机器人能达到这一规模，还有待确定，但僵尸网络并不比Hajime大。