近日，國外安全公司Trustwave在互聯網發現了一種新的僵尸網絡，該僵尸網絡利用老版本CGI-PHP的漏洞來進行自動化傳播，Trustwave命名該僵尸網絡為BoSSaBoTv2 。

利用PHP漏洞進行自動化惡意軟件安裝

在2012年的時候，PHP爆除了一個嚴重的安全漏洞(CVE-2012-1823)php-cgi遠程代碼執行：

PHP處理參數的傳遞時存在漏洞，PHP 5.3.12和5.4.2之前的5.4.x中的sapi/cgi/cgi_main.c，當配置為CGI腳本(aka php-cgi)時，沒有正確處理缺少“=”字符的查詢字符串，在特定的配置情況下，遠程攻擊者可能利用此漏洞在服務器上獲取腳本源碼或執行任意命令。

BoSSaBoTv2利用該漏洞自動在互聯網上查找存在漏洞的服務器，發現漏洞后會嘗試安裝惡意軟件。研究人員還發現被安裝BoSSaBoTv2的服務器，會用來盜取比特幣。專家在經過大規模數據調研后發現，攻擊者用自動化的方式掃描以上漏洞并且分不同的攻擊方式在數年內進行操作。

據Trustwave通過對8月份的蜜罐流量分析發現，對PHP-CGI的缺陷進行攻擊并散播新的僵尸網絡呈上升的趨勢。

一旦感染了這一病毒，BoSSaBoTv2 病毒就會允許遠程攻擊者使用shell或者IRC去控制服務器。正如在博客中解釋的，它可能用于比特幣的盜取也可能用于DDoS的攻擊。

專家在調查中發現原始的網站應用攻擊payload并不是像現在的惡意軟件，它們剛開始只是從網外快速的獲得一些信息。

令人擔憂的是，在近期的攻擊事件中新版本的BoSSaBoTv2病毒在文件中是最難被察覺的：

[Nome file 1] 5453043042be4ad21259bcb9b17e9bd3.exe

[Nome file 2] 097d995b242e387f4bdbfd2b9c9e5dfd9a33acc2_w00ted

研究人員提到，利用C去寫惡意代碼在僵尸網絡圈子里是非常罕見的事情，一旦攻擊者發現易受攻擊的服務器，那么他們就會試圖安裝64位和32位版本BoSSaBoTv2病毒。根據專家調查顯示，攻擊者的目標主要在企業，因為企業的系統存儲大，帶寬快。

BoSSaBoTv2需要多少錢?

下載終身的BoSSaBoTv2病毒需要125美元，額外下載基礎程序包需要再付25美元。(小編：價格真不便宜。。)

僵尸網絡管理者可通過POST方式發布指令(通過Base64加密)，以下目錄是會被BoSSaBoTv2掃描的目標：

/cgi-bin/php

/cgi-bin/php4

/cgi-bin/php5

/cgi-bin/php.cgi

/cgi-bin/php-cgi

[參考信息來源security affairs]