新發現 Linux 系統蠕蟲 Gitpaste-12，將惡意程式碼托管於 Github 與 Pastebin

• 發布日期：109-11-27
• 發布單位：刑事警察大隊

參考網站：
TWCERT/CC新發現 Linux 系統蠕蟲 Gitpaste-12，將惡意程式碼托管於 Github 與 Pastebin
https://www.twcert.org.tw/tw/cp-104-4143-12c85-1.html

資安專家發現新種蠕蟲，專門攻擊 x86 Linux 伺服器與 Linux IoT 裝置；該蠕蟲可載入 12 種以上不同的攻擊模組，更把其攻擊程式碼托管於 Github 與 Pastebin。

網通大廠 Juniper 旗下的資安研究團隊 Juniper Threat Labs 日前發表研究報告，指出該單位的資安專家於十月中旬發現新種蠕蟲，專門攻擊 x86 Linux 伺服器，以及以 ARM 和 MIPS 處理器為基礎的 Linux IoT 裝置；該蠕蟲因可載入 12 種以上不同的攻擊模組，所以被稱為「Gitpaste-12」 。

資安專家更發現，Gitpaste-12 把其攻擊模組的程式碼，托管於 Github 與 Pastebin；在感染初期，主要會利用過去已知的 11 種資安漏洞，如 Apache Struts 的 CVE-2017-5638、Asus 路由器的 CVE-2013-5948、Opendreambox Webadmin 擴充套件的 CVE-2017-14135 與 Tenda 路由器的 CVE-2929-10987 等漏洞，利用密碼暴力試誤法等方式入侵系統後，再利用其主要的 shell script 載入並執行後續需要的攻擊用模組。

接著 Gitpaste-12 會先從 Pastebin 下載一段程式碼，設定一個每分鐘執行一次的 cron job，用以進行自我更新；然後 Gitpaste-12 會再從 Github 下載執行攻擊用的程式碼，這段程式碼中包含阻擋系統防毒防駭功能的指令，包括關閉防火牆規則、selinux、apparmor 等防護功能，而且這段程式碼中還包括許多以簡體中文撰寫的程式註解。

資安專家也說，這段程式碼還有不少專門用以阻擋阿里雲、騰訊雲資安防護功能的指令，顯然其攻擊是針對這些雲端服務上的目標而設定。