HNS 物联网僵尸网络来势凶猛 已在全球迅速结集 1.4万个僵尸
翻译:360代码卫士团队
一款新型僵尸网络正在全球扩张势力,吞噬着不安全的物联网设备尤其是 IP 摄像头,已做好掀起破坏行动的准备。
Bitdefender 公司的安全研究员表示,这款新型的僵尸网络名为“ Hide ‘N Seek (“捉迷藏”, HNS),它首次现身于1月10日,消沉数天后又在1月20日强势归来。截止本文发稿前,HNS 已经从最初只有 12 台受攻陷设备的数量扩展至 1.4 万个僵尸。
Bitdefender 公司的高级网络威胁分析师 Bogdan Botezatu 指出,不同于最近几周出现的所有物联网僵尸网络,HNS 并非 Mirai 物联网僵尸网络的另一个变体,而是更类似于 Hajime。
Botezatu 指出,HNS 是继 Hajime 僵尸网络之后的第二款具有分散的对等 (P2P) 架构的已知物联网僵尸网络。然而,即使是在 Hajime 的案例中,P2P 功能都是基于 BitTorrent 协议上,而HNS 则是具备自定义构建的 P2P 通信机制。
Botezatu 在分析文章中指出,HNS 的每个僵尸都包含其它受感染僵尸的一个 IP 列表。这个列表可根据僵尸网络的扩大以及僵尸的丢失或增加的变化做出实时更新。
HNS 僵尸互相之间中继指令和命令,类似于 P2P 协议的基础。Botezatu 指出,一个 HNS 僵尸能够接收并执行多种命令类型,如“数据渗透、代码执行和干扰设备操作”。
让人惊讶的是,研究人员发现 HNS 并不具备 DDoS 功能,也就是说 HNS 旨在成为一个代理网络,这和 DDoS 攻击引发太多关注从而导致很多激进的僵尸网络消失之后多数物联网僵尸网络被武器化的方式一致。
HNS 僵尸网针对 Telnet 端口开放的设备发动字典暴力攻击。和其唯一的 P2P 僵尸管理协议一致,这个传播机制也是高度自定义化的。
Botezatu 解释称,“这个僵尸具有类似蠕虫的传播机制,随机生成 IP 地址列表来获取潜在目标。随后,它对列表中的每个主机都初始化一个原始的套接字 SYN 连接并继续和回应具体目的地端口 (23 2323、80、8080)上请求的主机进行通信。
连接一旦建立,僵尸就会查找一个受害者显示的特定标题 (“buildroot login:”)。如果它拿到这个登录标题,那么就会尝试通过一系列预定义凭证进行登录。如果登录失败,那么 HNS 就会通过一个硬编码列表发动字典攻击。和新的受害者建立会话后,这个样本会通过一个‘状态机’运行来正确地找到目标设备并挑选最何时的攻陷方法。例如,如果受害者和僵尸位于同一个 LAN,那么僵尸就会把 TFTP 服务器设置为允许受害者从僵尸下载样本。如果受害者位于互联网,那么僵尸就会通过尝试某个特定的远程 payload 交付方法让受害者下载并运行恶意软件样本。这些利用技术都是预先配置的而且都位于经数字签名阻止篡改的内存位置中。这个列表可远程进行更新并在受感染主机中进行传播。”
好在 HNS 和其它所有物联网僵尸网络一样都并未对受感染设备建立可持续能力,也就是说设备重启后 HNS 会自动被删除。但这就导致对 HNS 僵尸网的管理成为一项全天24小时的工作,因为需要不断对它进行监控以便确保它不会在旧僵尸未消失之前又增加新的僵尸。
另外,由于 HNS 是物联网僵尸恶意软件的新晋,因此它还处于不断变化中,其运营人员还在探索新的传播技术和僵尸管理技术。
希望 HNS 和其它很多“新型”僵尸网络一样,由于其作者感到厌烦而放弃“实验”后在几周后就会消失吧。
但一个由1.4万个僵尸组成的僵尸网络不容忽视。如果说我们能从 ProxyM 僵尸网络中能学到点什么的话,那就是运行一个盈利的僵尸网络并不需要成千上万台受感染设备,四五千足矣。
关联阅读
数千台物联网设备的Telent凭证现身 恐成DDoS攻击大炮
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/new-hns-iot-botnet-has-already-amassed-14k-bots/