新型 IoT僵尸网络“捉迷藏”来袭，并非Mirai 变种

2024-11-11 14:56:52

导读网络平安公司 Bitdefender 的平安研讨人员发现，新型IoT僵尸网络“捉迷藏”（HNS）1月20日携少量“肉鸡”强势回归。其初次被发现是 2018年1月12日，截至1月25日，HNS 的“肉鸡”数量已从最后的 12 台扩大至 1.4 万台，也就是说，其在短短十几天内增长了1000多倍。并非 Mirai 变种，但与针对中国 IOT 设备的 Hajime 相似Bitdefender 初级电子要

网络平安公司 Bitdefender 的平安研讨人员发现，新型IoT僵尸网络“捉迷藏”（HNS）1月20日携少量“肉鸡”强势回归。其初次被发现是 2018年1月12日，截至1月25日，HNS 的“肉鸡”数量已从最后的 12 台扩大至 1.4 万台，也就是说，其在短短十几天内增长了1000多倍。

并非 Mirai 变种，但与针对中国 IOT 设备的 Hajime 相似

Bitdefender 初级电子要挟剖析师 Bogdan Botezatu 以为，与目前大少数针对 IOT 设备的僵尸网络不同，HNS并非 Mirai 的变种，反而与专门攻击中国物联网设备的 Hajime 愈加相似。

Hajime 又是何方神圣？说起来它也是很有特性的一款僵尸蠕虫了。

据此前诸多媒体的报道，它并不会执行歹意操作，也不包括任何散布式回绝攻击（DDoS）功用与代码，反而每隔10分钟向被感染的设备推送一个音讯：

我们是维护零碎的白帽子。我们将经过此办法展现重要信息。

雷锋网发现，Hajime还做了一系列改善平安性的举措，比方阻挠Mirai赖以攻击的端口（23、7547、5555和5358的拜访），封闭这些端口，将无效组织设备被Mirai感染。

但是，有人觉得 Hajime 这种强行提供维护的方式并不合法，难保有一天 Hajime 的作者反戈。

依据 Hajime 的代码，制造者可以随时在网络中的人易受感染设备中翻开 Shell 脚本。由于运用了模块化代码，设计者可以随时添加新的功用。一旦制造者改动主见计划搞点事情，便可以立刻将受感互联网电子商务和移动商务消费渠道的普及，使得支付市场将在不久的将来继续呈现更加美好的增长前景。染的设备转变成一个宏大的歹意僵尸网络。

Botezatu 指出，HNS是继 Hajime 僵尸网络之后第二款 具有点对点（P2P）架构的已知IoT僵尸网络。 但就 Hajime 而言，P2P 功用树立在 BitTorrent 协议的根底之上，而HNS则具有自定义构建的 P2P 通讯机制。

依据Botezatu在撰写的剖析，每个僵尸顺序都包括一个其他被感染机器人的IP列表，这个列表可以随着僵尸网络的增长和僵尸顺序的丧失或取得而实时更新。

HNS 将中继指令和命令相互转发，相似于P2P协议的根底。 Botezatu 说 HNS 机器人可以接纳和执行几品种型的命令，比方“数据泄露，代码执行和对设备操作的搅扰”。

与 Hajime 一样，研讨人员并未在 HNS 中发现 DDoS 攻击功用，也就是说 HNS 旨在作为代理网络停止部署，这与2017年大少数IoT僵尸网络被武器化的方式相似。此前，DDoS攻击引来太多关注，从而使得很多僵尸网络消逝。

高度自定义化

HNS僵尸网络对具有开放 Telnet 端口的设备发起字典暴力破解攻击，这种传达机制与其共同的 P2P 僵尸管理协议一样，具有高度自定义化的特征。

Botezatu 解释，该僵尸顺序具有相似蠕虫的传达机制，会随机生成IP地址列表，向其发送SYN报文探测端口（232323,80,8080）开放状况。一旦树立衔接，该僵尸顺序就会寻觅 Banner（“buildroot login:”）。在取得该登录 Banner 后，它会尝试运用一系列预定义凭证停止登录。若获取失败，该僵尸网络会尝试运用硬编码列表发起字典攻击。

雷锋网发现，一旦与新的受益者树立会话，这个样本将会经过“形态机”运转，以此正确辨认目的设备并选择最合适的攻击方式。例如，假如受益者与该僵尸顺序位于同一局域网，该僵尸顺序便会设置 TFTP 效劳器，允许受益者下载这个样本。假如受益者在运用互联网，这个僵尸顺序将会尝试经过特定的近程 Payload 传送方式让受益者下载并运转该歹意软件样本。这个列表可近程更新，并在遭遇觉得的主机中停止传达。

但值得庆幸的是，HNS 与一切 IoT 歹意软件一样，无法在被感染设备上树立耐久性，也就是说设备重启时，这款歹意软件会被自动删除。这也使得相关人员要24小时全天候管理该僵尸网络，由于其创立者会继续监控该僵尸网络，以确保持续抓新的“肉鸡”。

HNS仍处在开发当中，杀伤力不容无视

由于物联网是歹意软件范畴的新宠，HNS也在不时变化，创立者正在探究新的传达和遨游管理技术。

由于这些“新”僵尸网络中的许多在几个星期后就有消逝的趋向，所以希望HNS的作者感到无聊，保持他的“实验”。

专家表示，由1.4万个“肉鸡”组成的僵尸网络不容无视，由于普通可以有一定“杀伤力”的僵尸网络，基本不需求几万个肉鸡，四五千就足矣。

平安建议

Imperva 的平安研讨员Nadav Avital以为：

“这个物联网僵尸网络的发现与最近Imperva对2017年破绽研讨的发现相照应。随着物联网设备在我们古代生活中越来越受欢送，它们也变得对网络立功分子更具吸引力。实践上，在2017年，我们记载的物联网破绽数量创下记载，从2016年以来，这些破绽数量翻了一番。

他还强调需求一个帐户接收处理方案，维护一切设备的网络存在。 帐户接收是一个大成绩，但这不是物联网供给商提供维护的成绩。因而，组织部署平安的内部处理方案是一个好主见。

雷锋网 (大众号：雷锋网) 编译自 bleepingcomputer ， informationsecuritybuzz蓬勃发展的行业不仅给从业者提供了巨大的发展机遇，也带来了全新的挑战。

。

免责声明：本文章由会员“马原”发布如果文章侵权，请联系我们处理，本站仅提供信息存储空间服务如因作品内容、版权和其他问题请于本站联系

标签：