信息來源：搜狐網(wǎng)

網(wǎng)絡(luò)安全公司 Bitdefender 的安全研究人員發(fā)現(xiàn)，新型IoT僵尸網(wǎng)絡(luò)“捉迷藏”（HNS）1月20日攜大量“肉雞”強勢回歸。其首次被發(fā)現(xiàn)是 2018年1月12日，截至1月25日，HNS 的“肉雞”數(shù)量已從最初的 12 臺擴(kuò)充至 1.4 萬臺，也就是說，其在短短十幾天內(nèi)增長了1000多倍。

并非 Mirai 變種，但與針對中國 IOT 設(shè)備的 Hajime 類似

Bitdefender 高級電子威脅分析師 Bogdan Botezatu 認(rèn)為，與目前大多數(shù)針對 IOT 設(shè)備的僵尸網(wǎng)絡(luò)不同，HNS并非 Mirai 的變種，反而與專門攻擊中國物聯(lián)網(wǎng)設(shè)備的 Hajime 更加類似。

Hajime 又是何方神圣？說起來它也是很有個性的一款僵尸蠕蟲了。

據(jù)此前諸多媒體的報道，它并不會執(zhí)行惡意操作，也不包含任何分布式拒絕攻擊（DDoS）功能與代碼，反而每隔10分鐘向被感染的設(shè)備推送一個消息：

我們是保護(hù)系統(tǒng)的白帽子。我們將通過此方法展示重要信息。

甚至Hajime還做了一系列改善安全性的動作，比如阻擋Mirai賴以攻擊的端口（23、7547、5555和5358的訪問），關(guān)閉這些端口，將有效組織設(shè)備被Mirai感染。

但是，有人覺得 Hajime 這種強行提供保護(hù)的方式并不合法，難保有一天 Hajime 的作者反戈。

根據(jù) Hajime 的代碼，制造者可以隨時在網(wǎng)絡(luò)中的人易受感染設(shè)備中打開 Shell 腳本。由于使用了模塊化代碼，設(shè)計者可以隨時添加新的功能。一旦制作者改變主意打算搞點事情，便可以立即將受感染的設(shè)備轉(zhuǎn)變成一個巨大的惡意僵尸網(wǎng)絡(luò)。

Botezatu 指出，HNS是繼 Hajime 僵尸網(wǎng)絡(luò)之后第二款具有點對點（P2P）架構(gòu)的已知IoT僵尸網(wǎng)絡(luò)。但就 Hajime 而言，P2P 功能建立在 BitTorrent 協(xié)議的基礎(chǔ)之上，而HNS則具有自定義構(gòu)建的 P2P 通信機(jī)制。

根據(jù)Botezatu在撰寫的分析，每個僵尸程序都包含一個其他被感染機(jī)器人的IP列表，這個列表可以隨著僵尸網(wǎng)絡(luò)的增長和僵尸程序的丟失或獲得而實時更新。

HNS 將中繼指令和命令互相轉(zhuǎn)發(fā)，類似于P2P協(xié)議的基礎(chǔ)。 Botezatu 說 HNS 機(jī)器人可以接收和執(zhí)行幾種類型的命令，比如“數(shù)據(jù)泄露，代碼執(zhí)行和對設(shè)備操作的干擾”。

與 Hajime 一樣，研究人員并未在 HNS 中發(fā)現(xiàn) DDoS 攻擊功能，也就是說 HNS 旨在作為代理網(wǎng)絡(luò)進(jìn)行部署，這與2017年大多數(shù)IoT僵尸網(wǎng)絡(luò)被武器化的方式類似。此前，DDoS攻擊引來太多關(guān)注，從而使得很多僵尸網(wǎng)絡(luò)消失。

高度自定義化

HNS僵尸網(wǎng)絡(luò)對具有開放 Telnet 端口的設(shè)備發(fā)起字典暴力破解攻擊，這種傳播機(jī)制與其獨特的 P2P 僵尸管理協(xié)議一樣，具有高度自定義化的特征。

Botezatu 解釋，該僵尸程序具有類似蠕蟲的傳播機(jī)制，會隨機(jī)生成IP地址列表，向其發(fā)送SYN報文探測端口（232323,80,8080）開放情況。一旦建立連接，該僵尸程序就會尋找 Banner（“buildroot login:”）。在獲得該登錄 Banner 后，它會嘗試使用一系列預(yù)定義憑證進(jìn)行登錄。若獲取失敗，該僵尸網(wǎng)絡(luò)會嘗試使用硬編碼列表發(fā)起字典攻擊。

一旦與新的受害者建立會話，這個樣本將會通過“狀態(tài)機(jī)”運行，以此正確識別目標(biāo)設(shè)備并選擇最適合的攻擊方式。例如，如果受害者與該僵尸程序位于同一局域網(wǎng)，該僵尸程序便會設(shè)置 TFTP 服務(wù)器，允許受害者下載這個樣本。如果受害者在使用互聯(lián)網(wǎng)，這個僵尸程序?qū)L試通過特定的遠(yuǎn)程 Payload 傳送方式讓受害者下載并運行該惡意軟件樣本。這個列表可遠(yuǎn)程更新，并在遭遇感覺的主機(jī)中進(jìn)行傳播。

但值得慶幸的是，HNS 與所有 IoT 惡意軟件一樣，無法在被感染設(shè)備上建立持久性，也就是說設(shè)備重啟時，這款惡意軟件會被自動刪除。這也使得相關(guān)人員要24小時全天候管理該僵尸網(wǎng)絡(luò)，因為其創(chuàng)建者會持續(xù)監(jiān)控該僵尸網(wǎng)絡(luò)，以確保繼續(xù)抓新的“肉雞”。

HNS仍處在開發(fā)當(dāng)中，殺傷力不容忽視

由于物聯(lián)網(wǎng)是惡意軟件領(lǐng)域的新寵，HNS也在不斷變化，創(chuàng)建者正在探索新的傳播和漫游管理技術(shù)。

由于這些“新”僵尸網(wǎng)絡(luò)中的許多在幾個星期后就有消失的趨勢，所以希望HNS的作者感到無聊，放棄他的“實驗”。

專家表示，由1.4萬個“肉雞”組成的僵尸網(wǎng)絡(luò)不容忽視，因為一般能夠有一定“殺傷力”的僵尸網(wǎng)絡(luò)，根本不需要幾萬個肉雞，四五千就足矣。

安全建議

Imperva 的安全研究員Nadav Avital認(rèn)為：

“這個物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)與最近Imperva對2017年漏洞研究的發(fā)現(xiàn)相呼應(yīng)。隨著物聯(lián)網(wǎng)設(shè)備在我們現(xiàn)代生活中越來越受歡迎，它們也變得對網(wǎng)絡(luò)犯罪分子更具吸引力。 實際上，在2017年，我們記錄的物聯(lián)網(wǎng)漏洞數(shù)量創(chuàng)下記錄，從2016年以來，這些漏洞數(shù)量翻了一番。

他還強調(diào)需要一個帳戶接管解決方案，保護(hù)所有設(shè)備的網(wǎng)絡(luò)存在。 帳戶接管是一個大問題，但這不是物聯(lián)網(wǎng)供應(yīng)商提供保護(hù)的問題。 因此，組織部署安全的外部解決方案是一個好主意。