信息來源:secdoctor
外媒 1 月 25 日消息�����,一個名為 Hide’N Seek( HNS )的新僵尸網(wǎng)絡(luò)正在世界各地不斷增長�,對物聯(lián)網(wǎng)設(shè)備造成重大影響(截至目前為止,受感染的物聯(lián)網(wǎng)設(shè)備數(shù)量已達 2 萬)�����。據(jù)研究人員介紹����,HNS 僵尸網(wǎng)絡(luò)使用定制的點對點通信來誘捕新的物聯(lián)網(wǎng)設(shè)備并構(gòu)建其基礎(chǔ)設(shè)施,目前 HNS 主要是針對不安全的物聯(lián)網(wǎng)設(shè)備��,尤其是 IP 攝像機���。
Bitdefender 的安全研究人員發(fā)現(xiàn) HNS 僵尸網(wǎng)絡(luò)于 2018 年 1 月 10 日首次出現(xiàn)����,和其他與 Mirai 有關(guān)的物聯(lián)網(wǎng)(IoT)僵尸網(wǎng)絡(luò)并不相同����。因為 HNS 有著不同的起源�,且不共享其源代碼����。事實上�����,Bitdefender 高級電子威脅分析師 Bogdan Botezatu 認為 HNS 與 Hajime 僵尸網(wǎng)絡(luò)更為相似���。
Bitdefender 的研究人員在 1 月 24 日發(fā)表的博客文章中寫道: “ HNS 僵尸網(wǎng)絡(luò)以復(fù)雜并且分散的方式進行通信���,使用多種防篡改技術(shù)來防止第三方劫持?����!?其僵尸程序可以通過與 Reaper 相同的漏洞( CVE-2016-10401 和其他針對網(wǎng)絡(luò)設(shè)備的漏洞)����,對一系列設(shè)備進行 Web 開發(fā)。
除此之外�����,HNS 還可以執(zhí)行多個命令,包括數(shù)據(jù)泄露����、代碼執(zhí)行和對設(shè)備操作的干擾。其僵尸程序具有類似蠕蟲的特性�,可以隨機生成一個 IP 地址列表來獲得潛在的目標,隨后向列出的每個目標設(shè)備發(fā)起一個原始的套接字 SYN 連接�。
一旦連接成功,僵尸程序?qū)⒉檎以O(shè)備提供的 “ buildroot login ” 橫幅����,并嘗試使用一組預(yù)定義憑據(jù)進行登錄。如果失敗���,它會試圖通過使用硬編碼列表的字典攻擊來破解設(shè)備的密碼����。
其次��,若用戶設(shè)備與僵尸程序具有相同的局域網(wǎng)�����,那么僵尸程序?qū)O(shè)置 TFTP 服務(wù)器,以便受害者能夠下載樣本�����。但如果是位于互聯(lián)網(wǎng)上���,僵尸程序?qū)L試一種特定的遠程有效載荷傳遞方法,讓用戶設(shè)備下載并運行惡意軟件樣本����。
一旦設(shè)備被感染,僵尸網(wǎng)絡(luò)背后的黑客就可以使用命令來控制它�����。目前僵尸網(wǎng)絡(luò)已經(jīng)從最初的 12 個受損設(shè)備增加到 2 萬多個���。
但幸運的是���,像大多數(shù)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)一樣,HNS 僵尸網(wǎng)絡(luò)不能在受感染的設(shè)備上建立持久性��。只要通過簡單的設(shè)備重新啟動, 受感染的設(shè)備中就可以自動刪除惡意軟件���。
目前 Bitdefender 的研究人員尚未發(fā)現(xiàn) HNS 僵尸網(wǎng)絡(luò)具有 DDoS 功能����,這意味著 HNS 將被部署為一個代理網(wǎng)絡(luò)��。另外�����,研究人員透露 HNS 僵尸網(wǎng)絡(luò)仍然不斷變化中���,可能會被應(yīng)用于多種攻擊場景���。
