第一個能在裝置重啟後繼續存活的殭屍網路
4月30日,羅馬尼亞的安全商Bitdefender的研究人員對外發布了他們所檢測到的一種殭屍網路,該殭屍網路是第一個能在裝置重啟後繼續存活的殭屍網路。目前,研究人員已將它命名為“Hide and Seek(HNS)”,這個名字起得也很有意思,翻譯成中文就是“躲貓貓”,不過這也符合其行為模式。
簡單來說,該殭屍網路有兩個世界第一。首先,它是世界上第一個通過點對點(peer-to-peer,簡稱P2P)架構進行通訊的殭屍網路。其次,它也是第一個能在裝置重啟後繼續存活的殭屍網路。
“Hide and Seek”的迭代攻擊過程
HNS於2018年1月10日初次現身,在1月20日攜大量“肉雞”強勢出現。1月25日,HNS的殭屍網路數量已從最初的12臺擴充至1.4萬臺,到1月底,數量就有大約3.2萬臺了。截至目前,該惡意軟體已感染了9萬臺裝置。
從最初發現到現在,HNS經歷了多次更新,這從其效能的不斷完善就可以看出,另一方面也證明這個殭屍網路還在研發階段,還未投入正式使用。
比如,HNS在4月下旬的新樣本就增加了傳播方面的很多改進功能。開發者在新的二進位制檔案中,加入了對兩個網路攝像頭漏洞的利用,這兩個漏洞分別是AVTECH網路攝像頭A/NVR/DVR PWDGRP.CGI 提權漏洞和Wansview NCS601W網路攝像頭的一個漏洞。除此之外,最新的版本還會進行裝置密碼的暴力破解,被感染的裝置將掃描暴露了Telnet埠的其它裝置,並嘗試使用預設憑證登入裝置,要說明的是,該殭屍網路會以出廠時的預設憑證登入作為暴力破解的基礎,而不是盲目猜測登入憑證。儘管如此,HNS的開發人員還在對目前的暴力破解方法進行更新。如果暴力破解登入成功,惡意軟體會限制對埠23的訪問,從而阻止可能的競爭對手來劫持同一個裝置。
除了利用這些漏洞之外,HNS還可以識別兩種新型別的裝置並利用其預設使用者名稱和密碼進行登入。
研究人員發現,這種攻擊方法針對各種流行的裝置和安全架構,研究表明,該殭屍程式有10種不同的二進位制檔案,包括x86,x64,ARM(Little Endian和Big Endian),SuperH,PPC等。
進行持久攻擊的原理
一旦感染成功執行,該惡意軟體會將在自己自行復制到受害者的/etc/init.d/資料夾中,然後再將該資料夾新增到自己的惡意作業系統中。為了實現持久攻擊,感染必須通過Telnet進行,因為需要root許可權才能將二進位制檔案複製到init.d目錄。
隨後它會隨機開啟一個傳播到臨近殭屍網路上的UDP埠,這個埠將被攻擊者用來與後臺進行聯絡,進行各種操作,比如HNS程式碼庫進行更新。
HNS的危害性
慶幸的是最新版本支援的命令列表與早期版本並沒有太大的變化,該殭屍網路仍然不支援DDoS攻擊,這樣其被廣泛利用的機會就很少了。
緩解措施
由於還在研發階段,所以目前該惡意軟體還是能夠被刪除的,具體辦法請點此。儘管如此,HNS還是能在被感染的裝置上竊取資料並執行程式碼,這意味著該殭屍網路支援外掛或模組系統,並且可以隨時利用任何型別的惡意程式碼進行擴充套件。所以,我們還是要保持警惕。
研究人員用於這項研究的樣本標識為9ef7ed8af988d61b18e1f4d8c530249a1ce76d69和c6d6df5a69639ba67762ca500327a35b0e3950b0。
原文釋出時間為:2018-05-18
本文來自雲棲社群合作伙伴“嘶吼網”,瞭解相關資訊可以關注“嘶吼網”。
相關文章
- 重啟裝置沒用了!HNS惡意軟體開啟殭屍網路“新時代”
- 物聯網裝置殭屍網路趨勢分析
- 斷劍重鑄?Kaiji殭屍網路正在重構AI
- Chalubo殭屍網路來襲 IOT裝置或將受到DDoS攻擊
- 殭屍網路瞄準SonicWall SSL VPN,揭開隱匿在物聯網裝置背後的真面目
- 什麼是殭屍網路
- 怎樣有效的治理殭屍網路?
- Linux殭屍程式處置Linux
- 注意!首個物聯網殭屍網路新變種肆虐,大批Android裝置使用者受害Android
- Mirai殭屍網路重出江湖AI
- 殭屍網路XorDDoS的原理分析與清除
- 殭屍蜜網:首款具備誘捕及反探測能力的物聯網殭屍網路
- 揭秘Neutrino殭屍網路生成器
- RDP服務之GoldBrute殭屍網路Go
- 超大規模的物聯網殭屍網路:Pink
- 瞄準Windows的新興殭屍網路:KrakenWindows
- Mirai 殭屍網路出現了新的變種AI
- 濫用ThinkPHP漏洞的殭屍網路Hakai和YowaiPHPAI
- Gafgyt變種——Jaws殭屍網路的分析報告
- 警告 :從銀行木馬到分散式殭屍網路的Emotet捲土重來分散式
- 黑客輕鬆接管29個殭屍網路 只因運營商太菜黑客
- DorkBot殭屍網路近期活躍情況報告
- 某殭屍網路被控端惡意樣本分析
- 帶你瞭解殭屍網路是怎樣組成的?
- 如何有效的治理殭屍網路以此來避免遭遇DDOS?
- 一起涉及多個DDoS殭屍網路樣本的攻擊事件追蹤事件
- Mirai 殭屍網路作者與 FBI 合作而避免刑期AI
- 殭屍網路 Emotet 能通過相鄰 Wi-Fi 網路傳播
- 深度追蹤Mozi殭屍網路:360安全大腦精準溯源,揪出幕後黑手
- 網路裝置配置與管理————19、VLAN及中繼中繼
- 盤點:網際網路上無處不在的"殭屍"
- 挖礦殭屍網路蠕蟲病毒kdevtmpfsi處理過程dev
- 瞭解殭屍網路的控制型別可以做最好的防護措施!型別
- 網路裝置
- 什麼是殭屍網路攻擊?安全專業人員指南
- fork和殭屍程式
- 警方破獲超大DDoS黑產案,20萬個殭屍網路運營商被抓
- 快速進擊的挖礦殭屍網路:單日攻擊破10萬次