您的位置: 天津信息网 > 娱乐

新型IoT僵尸网络捉迷藏来袭并非Mira

发布时间:2019-08-15 12:26:17
新型 IoT僵尸络“捉迷藏”来袭,并非Mirai 变种 络安全公司 Bitdefender 的安全研究人员发现,新型IoT僵尸络“捉迷藏”(HNS)1月20日携大量“肉鸡”强势回归。其首次被发现是 2018年1月12日,截至1月25日,HNS 的“肉鸡”数量已从最初的 12 台扩充至 1.4 万台,也就是说,其在短短十几天内增长了1000多倍。 并非 Mirai 变种,但与针对中国 IOT 设备的 Hajime 类似Bitdefender 高级电子威胁分析师 Bogdan Botezatu 认为,与目前大多数针对 IOT 设备的僵尸络不同,HNS并非 Mirai 的变种,反而与专门攻击中国物联设备的 Hajime 更加类似。 Hajime 又是何方神圣?说起来它也是很有个性的一款僵尸蠕虫了。 据此前诸多媒体的报道,它并不会执行恶意操作,也不包含任何分布式拒绝攻击(DDoS)功能与代码,反而每隔10分钟向被感染的设备推送一个消息: 我们是保护系统的白帽子。我们将通过此方法展示重要信息。 发现,Hajime还做了一系列改善安全性的动作,比如阻挡Mirai赖以攻击的端口(23、7547、5555和5358的访问),关闭这些端口,将有效组织设备被Mirai感染。 但是,有人觉得 Hajime 这种强行提供保护的方式并不合法,难保有一天 Hajime 的作者反戈。 根据 Hajime 的代码,制造者可以随时在络中的人易受感染设备中打开 Shell 脚本。由于使用了模块化代码,设计者可以随时添加新的功能。一旦制作者改变主意打算搞点事情,便可以立即将受感染的设备转变成一个巨大的恶意僵尸络。 Botezatu指出,HNS是继Hajime僵尸络之后第二款具有点对点(P2P)架构的已知IoT僵尸络。但就Hajime而言,P2P 功能建立在 BitTorrent 协议的基础之上,而HNS则具有自定义构建的 P2P 通信机制。 根据Botezatu在撰写的分析,每个僵尸程序都包含一个其他被感染机器人的IP列表,这个列表可以随着僵尸络的增长和僵尸程序的丢失或获得而实时更新。 HNS 将中继指令和命令互相转发,类似于P2P协议的基础。 Botezatu 说 HNS 机器人可以接收和执行几种类型的命令,比如“数据泄露,代码执行和对设备操作的干扰”。 与 Hajime 一样,研究人员并未在 HNS 中发现 DDoS 攻击功能,也就是说 HNS 旨在作为代理络进行部署,这与2017年大多数IoT僵尸络被武器化的方式类似。此前,DDoS攻击引来太多关注,从而使得很多僵尸络消失。 高度自定义化HNS僵尸络对具有开放 Telnet 端口的设备发起字典暴力破解攻击,这种传播机制与其独特的 P2P 僵尸管理协议一样,具有高度自定义化的特征。 Botezatu 解释,该僵尸程序具有类似蠕虫的传播机制,会随机生成IP地址列表,向其发送SYN报文探测端口(232323,80,8080)开放情况。一旦建立连接,该僵尸程序就会寻找 Banner(“buildroot login:”)。在获得该登录 Banner 后,它会尝试使用一系列预定义凭证进行登录。若获取失败,该僵尸络会尝试使用硬编码列表发起字典攻击。 (公众号:)发现,一旦与新的受害者建立会话,这个样本将会通过“状态机”运行,以此正确识别目标设备并选择最适合的攻击方式。例如,如果受害者与该僵尸程序位于同一局域,该僵尸程序便会设置 TFTP 服务器,允许受害者下载这个样本。如果受害者在使用互联,这个僵尸程序将会尝试通过特定的远程 Payload 传送方式让受害者下载并运行该恶意软件样本。这个列表可远程更新,并在遭遇感觉的主机中进行传播。 但值得庆幸的是,HNS 与所有 IoT 恶意软件一样,无法在被感染设备上建立持久性,也就是说设备重启时,这款恶意软件会被自动删除。这也使得相关人员要24小时全天候管理该僵尸络,因为其创建者会持续监控该僵尸络 ,以确保继续抓新的“肉鸡”。 HNS仍处在开发当中,杀伤力不容忽视由于物联是恶意软件领域的新宠,HNS也在不断变化,创建者正在探索新的传播和漫游管理技术。 由于这些“新”僵尸络中的许多在几个星期后就有消失的趋势,所以希望HNS的作者感到无聊,放弃他的“实验”。 专家表示,由1.4万个“肉鸡”组成的僵尸络不容忽视,因为一般能够有一定“杀伤力”的僵尸络,根本不需要几万个肉鸡,四五千就足矣。 安全建议Imperva 的安全研究员Nadav Avital认为: “这个物联僵尸络的发现与最近Imperva对2017年漏洞研究的发现相呼应。随着物联设备在我们现代生活中越来越受欢迎,它们也变得对络犯罪分子更具吸引力。 实际上,在2017年,我们记录的物联漏洞数量创下记录,从2016年以来,这些漏洞数量翻了一番。 他还强调需要一个帐户接管解决方案,保护所有设备的络存在。 帐户接管是一个大问题,但这不是物联供应商提供保护的问题。 因此,组织部署安全的外部解决方案是一个好主意。 编译自bleepingcomputer,informationsecuritybuzz 原创文章,未经授权禁止转载。详情见转载须知。急性腹泻最常见的病因
口眼歪斜能吃什么食物
灯盏细辛注射液的功效
小孩口臭是什么原因
猜你会喜欢的
猜你会喜欢的