近日,Canthink网络安全攻防实验室发现了第一个物联网僵尸网络恶意软件, 在重启后它仍被保留在受感染的设备上,安全研究员将这种恶意软件命名为Hide and Seek(HNS),或称Hide'N Seek。
这无疑是物联网和路由器恶意软件领域的一场巨变,因为在这之前,用户总是通过重置设备来从他们的智能设备、调制解调器和路由器中移除物联网恶意软件。而现在,重置操作刷新了设备的闪存,设备将保留其所有工作数据,包括这种物联网恶意软件。
这种物联网恶意软件在某些情况下会将其自身复制到/etc/init.d/,这是一个在基于Linux的操作系统上放置守护程序脚本的文件夹,就像路由器和物联网设备上的守护程序脚本一样。由此,设备的操作系统将在重启后自动启动恶意软件的进程。
据悉,Canthink网络安全研究员于今年1月初首先发现了HNS恶意软件及其相邻的僵尸网络,该僵尸网络在同月底增长到约32000个。
从发现至今,HNS已经感染了超90000种设备。
网络犯罪分子利用两个漏洞创建了初始僵尸网络,与其他物联网僵尸网络不同,它使用自定义的P2P协议来控制受感染的系统。而最新发现的HNS版本不仅增加了对其他两种攻击的支持,还增加了对强制攻击的支持。
这意味着受HNS感染的设备将扫描具有公开Telnet端口的其他设备,并尝试使用预设凭证列表登录该设备。Canthink研究员表示,HNS的作者也有时间调整这种强制性方案,因为恶意软件可以识别至少两种类型的设备,并尝试使用其出厂默认凭证登录到这些系统,而不是盲目猜测密码。此外,HNS代码库也收到更新,bot针对十种不同的设备体系结构已有十个不同的二进制文件。
不过,HNS无法获得所有受感染设备的引导许可:为了实现持久性,感染必须通过Telnet进行,因为需要root权限将二进制文件复制到init.d目录。此外,Canthink安全专家还表示,虽然HNS僵尸网络仍在进行,但恶意软件还难以支持DDoS攻击。
尽管如此,在受感染设备上窃取数据和执行代码的功能仍然存在,这意味着僵尸网络支持插件/模块系统,并且可以随时用任何类型的恶意代码进行扩展。
閱讀更多 網絡安全焦點 的文章
