“捉迷藏”成为第一个能够重新生成设备重启的物联网僵尸网络-华盟网

“捉迷藏”成为第一个能够重新生成设备重启的物联网僵尸网络

华盟学院山东省第二期线下学习计划

安全研究人员发现了第一个IoT僵尸网络恶意软件,它可以在设备重启后存活,并在最初的妥协后继续留在被感染的设备上。

这是物联网和路由器恶意软件领域发生重大变化的时刻。直到今天,设备所有者总是可以通过重启设备来从他们的智能设备、调制解调器和路由器中移除物联网恶意软件。

重启操作刷新了设备的闪存,该设备将保留所有工作数据,包括IoT恶意软件。

“Hide and Seek”恶意软件将自身复制到/etc/init.d/

但是今天,Bitdefender的研究人员宣布他们发现了一种物联网恶意软件,在某些情况下会将其自身复制到/etc/init.d/,这是一个基于Linux操作系统上放置守护程序脚本的文件夹,就像路由器和物联网设备上的守护程序脚本一样。

通过将自身放置在这个菜单中,设备的操作系统将在下一次重新启动后自动启动恶意软件的进程。

即使是Mirai毒株也无法实现的这种恶意软件称为Hide and Seek(HNS) - 也被称为Hide'N Seek。

HNS僵尸网络在过去几个月已经发生了相当大的变化

Bitdefender专家于今年1月初首先发现了HNS恶意软件及其相邻的僵尸网络,该僵尸网络在同月底增长到约32,000个。专家表示,从发现到现在,HNS已经感染了90,000种设备。

Crooks利用两个漏洞创建了他们的初始僵尸网络,这与现今其它活跃的物联网僵尸网络是不同的,因为它使用自定义的P2P协议来控制受感染的系统。

现在,专家们已经发现了新的HNS版本,它不仅增加了对其他两个漏洞的支持(1,2),还支持了暴力操作。

这意味着受HNS感染的设备将扫描开放Telnet端口的其他设备,并尝试使用预设凭证列表登录该设备。

研究人员说,HNS的作者们也有时间来调整这种“强制执行”的方案,因为恶意软件可以识别至少两种类型的设备,并尝试使用其出厂默认凭证登录到这些系统中,而不是盲目地猜测密码。

此外,HNS代码库也得到了更新,而bot现在有十个不同的二进制文件用于十个不同的设备架构。

并非所有的HNS都持续启动

但是HNS无法获得所有受感染设备的引导许可。根据Bitdefender高级电子威胁分析师Bogdan Botezatu的说法,“为了实现持久性,感染必须通过Telnet进行,因为需要root权限将二进制文件复制到init.d目录。”

安全专家还补充说,HNS僵尸网络仍在进行中,恶意软件仍然不支持发起DDoS攻击。

尽管如此,在受感染的设备上窃取数据和执行代码的功能仍然存在,这意味着僵尸网络支持插件/模块系统,并且可以在任何情况下使用任何类型的恶意代码进行扩展。

 

 

www.idc126.com

本文翻译自:https://www.bleepingcomputer.com/

 

本文由 华盟网 作者:excalibur 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论