第一個能在裝置重啟後繼續存活的殭屍網路

4月30日，羅馬尼亞的安全商Bitdefender的研究人員對外發布了他們所檢測到的一種殭屍網路，該殭屍網路是第一個能在裝置重啟後繼續存活的殭屍網路。目前，研究人員已將它命名為“Hide and Seek（HNS）”，這個名字起得也很有意思，翻譯成中文就是“躲貓貓”，不過這也符合其行為模式。

簡單來說，該殭屍網路有兩個世界第一。首先，它是世界上第一個通過點對點（peer-to-peer，簡稱P2P）架構進行通訊的殭屍網路。其次，它也是第一個能在裝置重啟後繼續存活的殭屍網路。

“Hide and Seek”的迭代攻擊過程

HNS於2018年1月10日初次現身，在1月20日攜大量“肉雞”強勢出現。1月25日，HNS的殭屍網路數量已從最初的12臺擴充至1.4萬臺，到1月底，數量就有大約3.2萬臺了。截至目前，該惡意軟體已感染了9萬臺裝置。

從最初發現到現在，HNS經歷了多次更新，這從其效能的不斷完善就可以看出，另一方面也證明這個殭屍網路還在研發階段，還未投入正式使用。

比如，HNS在4月下旬的新樣本就增加了傳播方面的很多改進功能。開發者在新的二進位制檔案中，加入了對兩個網路攝像頭漏洞的利用，這兩個漏洞分別是AVTECH網路攝像頭A/NVR/DVR PWDGRP.CGI 提權漏洞和Wansview NCS601W網路攝像頭的一個漏洞。除此之外，最新的版本還會進行裝置密碼的暴力破解，被感染的裝置將掃描暴露了Telnet埠的其它裝置，並嘗試使用預設憑證登入裝置，要說明的是，該殭屍網路會以出廠時的預設憑證登入作為暴力破解的基礎，而不是盲目猜測登入憑證。儘管如此，HNS的開發人員還在對目前的暴力破解方法進行更新。如果暴力破解登入成功，惡意軟體會限制對埠23的訪問，從而阻止可能的競爭對手來劫持同一個裝置。

除了利用這些漏洞之外，HNS還可以識別兩種新型別的裝置並利用其預設使用者名稱和密碼進行登入。

研究人員發現，這種攻擊方法針對各種流行的裝置和安全架構，研究表明，該殭屍程式有10種不同的二進位制檔案，包括x86，x64，ARM（Little Endian和Big Endian），SuperH，PPC等。

進行持久攻擊的原理

一旦感染成功執行，該惡意軟體會將在自己自行復制到受害者的/etc/init.d/資料夾中，然後再將該資料夾新增到自己的惡意作業系統中。為了實現持久攻擊，感染必須通過Telnet進行，因為需要root許可權才能將二進位制檔案複製到init.d目錄。

隨後它會隨機開啟一個傳播到臨近殭屍網路上的UDP埠，這個埠將被攻擊者用來與後臺進行聯絡，進行各種操作，比如HNS程式碼庫進行更新。

HNS的危害性

慶幸的是最新版本支援的命令列表與早期版本並沒有太大的變化，該殭屍網路仍然不支援DDoS攻擊，這樣其被廣泛利用的機會就很少了。

緩解措施

由於還在研發階段，所以目前該惡意軟體還是能夠被刪除的，具體辦法請點此。儘管如此，HNS還是能在被感染的裝置上竊取資料並執行程式碼，這意味著該殭屍網路支援外掛或模組系統，並且可以隨時利用任何型別的惡意程式碼進行擴充套件。所以，我們還是要保持警惕。

研究人員用於這項研究的樣本標識為9ef7ed8af988d61b18e1f4d8c530249a1ce76d69和c6d6df5a69639ba67762ca500327a35b0e3950b0。

原文釋出時間為：2018-05-18

本文來自雲棲社群合作伙伴“嘶吼網”，瞭解相關資訊可以關注“嘶吼網”。