今年初發現的首個物聯網殭屍網路Hide and Seek(HNS)近日出現了新型變種,利用Android Debug Bridge (ADB)功能中所存在的漏洞通過Wifi網路連線來感染Android裝置,且裝置無法通過重啟清除感染,將繼續保留在裝置上。
那麼,HNS到底是如何實施攻擊,影響程度與範圍又有多大呢,我們來了解一下。
Hid and Seek(HNS)是什麼?
HNS是由Bitdefender的研究人員於今年初發現的一種新興殭屍網路,它使用先進的通訊技術來利用受害者並構建其基礎設施。幾天內在大型殭屍網路中積累了超過90,000臺裝置後,很快就變得臭名昭著。
Hid and Seek(HNS)的影響
HNS殭屍網路以複雜和分散的方式進行通訊,並使用多種防篡改技術來防止第三方劫持它。HNS可以通過與Reaper(CVE-2016-10401和其他針對網路裝置的漏洞)相同的漏洞對一系列裝置執行Web開發。
HNS嵌入了多個命令,例如資料洩漏,程式碼執行和對裝置操作的干擾。
HNS感染裝置數量大約為1.4萬臺。1月26日感染裝置數量迅速擴大,超過3.2萬臺物聯網裝置被感染,而且在裝置重啟之後依然會保留在受感染的裝置上。
Hid and Seek(HNS) 新變種如何實施攻擊?
近日Bitdefender Labs釋出報告稱已經發現新型變種。利用Android開發者除錯之用的Android Debug Bridge (ADB)功能中所存在的漏洞,該變種通過WiFi網路連線來感染Android裝置,使之成為殭屍網路的一員。
雖然並非所有Android都預設啟用ADB功能,但部分Android手機廠商會預設自動啟用,可以通過5555埠使用WiFi ADB遠端連線就能輕鬆進行攻擊。在連線至預設啟用ADB的Android系統之後,允許攻擊者以root級別獲得shell訪問,可以在受感染裝置上執行和安裝任何東西。
這種物聯網惡意軟體在某些情況下會將其自身複製到/etc/init.d/,這是一個在基於Linux的作業系統上放置守護程式指令碼的資料夾,就像路由器和物聯網裝置上的守護程式指令碼一樣。由此,裝置的作業系統將在重啟後自動啟動惡意軟體的程式。
參考來源:
- End -