羅馬尼亞安全公司 BitDefender的 安全研究人員發現,“捉迷藏”(Hide and Seek,簡稱 HNS)物聯網殭屍網路惡意軟體添新功能,能在裝置重啟後存活,在完成初始感染後仍能繼續駐留在被感染裝置上。這是首個能在裝置重啟後存活的此類惡意軟體。
重啟裝置
重置操作會重新整理裝置的快閃記憶體,能將儲存在其中的所有工作資料刪除,包括物聯網惡意軟體。裝置所有者通常可以重置裝置,以從智慧裝置、調製調解器和路由器中刪除物聯網惡意軟體,但惡意軟體 HNS 卻能在這樣的操作下“倖存”。
如何實現“裝置重啟”後的駐留?
研究人員表示,這款惡意軟體在某些情況下在將自己複製到 /etc/init.d/ 資料夾,這是一個在基於 Linux 作業系統上的啟動程式資料夾,因此裝置作業系統會在下次重啟後自動啟動惡意軟體程式。
已感染9萬臺 IoT 裝置
HNS 殭屍網路於2018年1月10日初次現身,在1月20日攜大量“肉雞”強勢迴歸。1月25日,HNS 的“肉雞”數量已從最初的12臺擴充至1.4萬臺;到1月底,該殭屍網路已經“抓了”約3.2萬臺“肉雞”。截至目前,該惡意軟體已感染了9萬臺裝置。
HNS 是第二款具有P2P架構的IoT 殭屍網路
HNS 惡意軟體具有連Mirai都無法實現的功能。Bitdefender 的研究人員格丹·博泰扎圖指出,HNS不同於最近幾周出現的其它IoT殭屍網路,它並非是 Mirai 的另一變種,反而與Hajime更加類似。
博泰扎圖指出,HNS 是繼 Hajime 殭屍網路之後,已知的第二款具有點對點(peer-to-peer,簡稱P2P)架構的 IoT 殭屍網路。但就 Hajime 而言,P2P 功能建立在 BitTorrent 協議的基礎之上,而 HNS 則具有自定義構建的 P2P 通訊機制。
該殭屍網路背後的操縱者利用兩個漏洞建立了初始的殭屍網路。與如今其它活躍的物聯網殭屍網路不同的是,它使用自定義 P2P 協議控制被感染的系統。
最新 HNS 惡意軟體不僅可以利用另外兩個漏洞(AVTECH網路攝像頭 A/NVR/DVR PWDGRP.CGI 提權漏洞和 Wansview NCS601W 網路攝像頭的一個漏洞),還支援暴力破解操作,被感染的裝置將掃描暴露了 Telnet 埠的其它裝置,並嘗試使用預設憑證登入裝置。研究人員指出,HNS 的開發人員還有時間調整這個暴力破解方法,此外,這款惡意軟體能識別至少兩種型別的裝置,並試圖使用出廠預設憑證登入這些系統,而不是盲目猜測密碼。
此外,HNS 程式碼庫還會接收更新,目前已擁有針對10種不同裝置架構的10種二進位制。
持續駐留的前提:感染透過Telnet進行
值得慶幸的是,HNS 尚無法在所有被感染上的裝置上持續駐留。博泰扎圖表示,HNS 要維持永續性其感染必須透過 Telnet 進行,因為需要 root 許可權將二進位制檔案複製到 init.d 目錄。
HNS 殭屍網路目前仍處於發展階段,且這款惡意軟體仍不支援發起 DDoS 攻擊。儘管如此,HNS 可在被感染的裝置上竊取資料並執行程式碼,這意味著該殭屍網路支援外掛/模組系統,並且可以隨時利用任何型別的惡意程式碼進行擴充套件,仍需予以警惕。
來源:E安全