據外媒ZDNet報道,在暗地裡默默發展了幾個月之後,一個新的物聯網(IoT)殭屍網絡正在逐步浮出水面。在過去的兩週裡,越來越多的安全研究人員開始在自己部署的安全檢測系統上發現與之相關的惡意程序。
這個殭屍網絡最初是在今年6月份由網絡安全公司NewSky Security的研究人員發現的,並被命名為“Hakai”。Hakai的第一個版本基於Qbot(也稱為Gafgyt、Bashlite、Lizkebab、Torlus或LizardStresser),一種早在2009年就已經被發現的蠕蟲病毒,源代碼曾在網絡上被公開。
NewSky Security公司的研究員Ankit Anubhav告訴ZDNet,Hakai殭屍網絡的第一版本並不複雜且很少活躍。另外,其開發者最初還想要借用Anubhav的名氣來為它做宣傳,以引起公眾的注意。Anubhav說:“他甚至把我的照片放到了Hakai的命令和控制服務器hakaiboatnet[.]pw的主頁上。”
.pw是帕勞地區的國家頂級域名,具有和.com、.net、.org域名完全一樣的性質。然而,Hakai並沒有在這個國家駐留太久。大約在一個月之後,這個殭屍網絡開始主動劫持用戶設備。Anubhav在接受ZDNet採訪時表示,他們在7月21日首次發現Hakai開始利用路由器漏洞實施攻擊。被利用的漏洞為CVE-2017-17215,這是一個影響到華為家用路由器HG352的遠程命令執行漏洞。
從那以後,Hakai的活躍度一直保持穩步上升。到了8月中旬,其他的一些安全研究人員也開始注意到這個新出現的殭屍網絡,並觀察到它開始瞄準更多的設備和漏洞。
安全研究員Jouini Ahmed 在一篇分析文章中指出 ,除了受漏洞CVE-2017-17215影響的華為路由器之外,Hakai目前還針對了支持HNAP協議的D-Link路由器, 以及仍在使用較舊且易受攻擊的Realtek SDK版本的 Realtek路由器和物聯網設備。
與此同時,Anubhav也告訴ZDNet,新版本的Hakai還增加了對D-Link DIR-645路由器UPNP緩衝區溢出漏洞和D-Link DSL-2750B設備中的遠程命令注入漏洞的利用。
除了所有這些漏洞利用之外,這個殭屍網絡還包含了一個高效的Telnet掃描程序,用於在互聯網上尋找那些仍使用默認密碼或者使用弱密碼(如root、admin、1234、12341234等)的設備。對於這些設備而言,無需任何漏洞利用,Hakai就可以很輕鬆地劫持它們。
Tempest Security公司在上個月發表的一篇博文中也指出,他們發現了一個非常活躍的Hakai殭屍網絡變種,試圖通過漏洞利用劫持分散於拉丁美洲的D-Link DSL-2750B路由器,尤其針對了巴西。
此外,根據Intezer Labs的說法,Hakai的源代碼似乎也已經落到了其他人的手中。而這一說法得到了Anubhav的證實,他表示已經有兩種不同的Hakai變種被發現正在網絡上傳播——Kenjiro和Izuku。
有意思的是,就在Hakai殭屍網絡即將名聲大噪時,它的開發者卻突然低調了起來。他切斷了與安全研究人員的聯繫,並且轉移了命令和控制服務器。
ZDNet認為,Hakai開發者的態度大轉彎很可能與最近被捕的Nexus Zeta有關,後者被認為是Satori IoT殭屍網絡的運營者。
就像Hakai的開發者,Nexus Zeta一開始也在網絡上吹噓他的殭屍網絡的能力,並不斷尋求媒體和安全研究人員的關注。他的愚蠢做法最終留下了一些痕跡,使得執法當局在追蹤他的真實身份時幾乎沒有遇到任何困難。
本文由 黑客視界 綜合網絡整理,圖片源自網絡;轉載請註明“轉自黑客視界”,並附上鍊接。
閱讀更多 黑客視界 的文章
