宅客频道消息，想要成为一名黑客？但你最好小心一些免费的黑客工具，因为其中不少都是骗局。最近，安全专家报告了几起假冒黑客工具隐藏后门的案例，其中就有一个虚假的 Facebook 黑客工具和Cobian RAT。

近日，安全专家 Ankit Anubhav 又发现了新黑客工具，它已经在数个地下黑客论坛上部署了后门程序。这个黑客工具是一个免费的 PHP 脚本，允许用户扫描互联网上一些比较容易受到攻击的 IP 摄像头，这些摄像头程序基本基于 GoAhead 开源嵌入式 Web Server 运行。（注：GoAhead是一个开源、简单、轻巧、功能强大、可以在多个平台运行的嵌入式 Web Server。GoAhead Web Server是为嵌入式实时操作系统量身定制的 Web 服务器。）

Ankit Anubhav 在一篇博文写道：

“针对使用嵌入式 GoAhead 服务器物联网设备的黑客市场似乎非常火热，这是因为大量 IP 摄像头可以被黑客利用 CVE-2017–8225 这样的漏洞轻松入侵，而且这种黑客手段已经被 IoTroop/Reaper僵尸网络成功采用了。”

“2017年10月22日，我们观察到一个经常托管物联网僵尸网络脚本的暗网，他们提供了一段新脚本代码，并标记为 NEW IPCAM EXPLOIT。这个脚本可帮助黑客找到一些容易受到攻击的、使用嵌入式 GoAhead 服务器的物联网设备，让黑客工作更轻松。”

可是，安全专家分析了这个“NEW IPCAM EXPLOIT”代码脚本，发现竟包含了攻击黑客的恶意代码，这意味着，如果这个工具被部署在某个僵尸网络，那么该脚本背后的黑客就能使用工具来接管它。

经过全方位解码后，安全专家们发现，“NEW IPCAM EXPLOIT ”恶意脚本会通过检查所有“GoAhead-Webs”标记，扫描 GoAhead 嵌入式服务器上的全网设备。但在脚本底部有一个后门程序，它会使用一个 shell 脚本连接到一个“恶意服务器”，然后下载一个二级脚本，再执行该脚本。

这个“ NEW IPCAM EXPLOIT ”物联网扫描脚本按照以下四个步骤操作:

1、该黑客脚本会扫描一组 IP 地址，查询到一些比较容易追踪的 GoAhead 服务器，这些服务器通常都可以通过 CVE-2017–8225 这样的漏洞绕过身份验证。利用这些漏洞，“ NEW IPCAM EXPLOIT ”脚本会侵入到Wireless IP Camera (P2P) WIFI CAM 设备中。

2、接下来，“ NEW IPCAM EXPLOIT ”脚本会创建一个用户账号（用户名：VM|密码：Meme123），之后会在网络犯罪者的系统上建立一个秘密后门，然后获得被侵入系统相同的特权。

3、第三步，“NEW IPCAM EXPLOIT”黑客脚本会确定网络犯罪者系统的 IP 地址，以便远程访问受到恶意软件感染的系统。

4、“ NEW IPCAM EXPLOIT ”黑客脚本会在被感染者的系统上运行一个二级负载，而在某些特定情况下，该脚本还会安装 Kaiten 恶意软件。

宅客频道了解到，外媒 BleepingCompuer 的安全专家对该恶意软件又进行了深入研究，发现这款黑客软件的开发者已经将其作为一款黑客工具，发布上传到了互联网上。

据 BleepingComputer 网站的一篇报道称：

“通过深入挖掘这款后门程序开发者曾经使用过的一些 ID，我们发现这不是他第一次发布类似的后门恶意软件，他此前也曾和其他一些黑客交过手，因为 Anubhav 在追踪这名黑客的时候发现了一个文档，其中罗列了不少其他黑客的名字。”

文章翻译自 securityaffairs