ing새로운 위협: B1txor20, DNS 터널링을 사용한 리눅스 백도어 관련 IOC 97개 발견
B1txor20는 DNS 터널링을 사용하여 C2 통신 채널을 구축하고 Socket5 프록시를 열고 Rootkit을 원격으로 다운로드하고 설치하는 등의 기능을 제공하는 새로운 Linux 백도어입니다. 주로 ARM과 X64 구조를 대상으로 하며, 네트워크 트래픽을 보호하기 위해 ZLIB 압축, RC4 암호화 및 BASE64 인코딩을 사용합니다. 동일한 기능을 갖는 4개의 B1txor20 샘플이 캡쳐되었고, 이는 저자가 나중에 악성코드를 개선하고 업데이트할 수 있음을 시사합니다.
Netlab360
New Threat: B1txor20, A Linux Backdoor Using DNS Tunnel
B1txor20 is a new Linux backdoor that uses DNS tunneling to establish C2 communication channels and allows for functions such as opening Socket5 proxy and remotely downloading and installing Rootkit. It is mainly targeted at ARM and X64 architectures and uses ZLIB compression, RC4 encryption and BASE64 encoding to protect its network traffic. Four B1txor20 samples have been captured with the same functions, suggesting the author may continue to improve and update the malware in the future.
https://blog.netlab.360.com/b1txor20-use-of-dns-tunneling_en/