僵尸网络 JenX 正在感染大量物联网设备
翻译:360代码卫士团队
Radware 公司发现,新出现的一款僵尸网络 JenX 正在通过利用物联网僵尸网络中流行的两个漏洞感染物联网设备。
JenX 利用的这两个漏洞是 CVE-2014-8361(Realtek SDK Miniigd UPnP SOAP 命令执行)和CVE-2017-17215(华为路由器 HG532—任意命令执行)漏洞。它们之前都曾遭 Mirai僵尸网络变体 Satori 的利用。
JenX 还利用了和 Mirai 变体 PureMasuta 存在关联的技术,后者的源代码在一个邀请制的地下论坛上遭公开。
研究人员发现,JenX 的命令和控制服务器还提供游戏 mod 服务器和 DDoS 服务。DDoS 功能包括攻击向量如 Valve Source Engine Query 和 32字节洪水、TS3 脚本以及一个 Down OVH 选项(可能是 Mirai 在2016年9月攻击云托管服务器 OVH 时的一个引用)。攻击者保证攻击规模是290-300Gbps,很可能是利用了新型僵尸网络的力量。
JenX 使用服务器执行扫描和利用操作,这和之前的物联网僵尸网络不同。后者如 Mirai、Hajime、Persirai、Reaper、Satori 和 Masuta 利用受感染系统进行扫描和利用(从而导致僵尸网络呈指数性增长)。
由于 JenX 并不包含扫描和利用 payload,因此其代码并不复杂而且传播更轻量。JenX 操纵人员凭借集中扫描和利用功能,还能通过不断增强的灵活性扩展并改进功能,而无需影响僵尸的规模。
由于节点扫描和利用更少,因此 JenX 噪音更少而且能够避免遭蜜罐检测,从而导致在不访问命令和控制服务器的情况下更加难以预估僵尸网络的规模。JenX 仅在执行攻击时才影响受害者的网络连接。
研究人员表示,这种集中式方法的缺点在于,受部署服务器的数量的线性增长更慢。和指数性增长和不太激进的分布式扫描僵尸网络相比,它慢很多。
JenX 受反调试检测保护,且它的二进制复刻了在进程表格中混淆的三个进程。所有的进程都监听一个和本地主机绑定的端口,而其中一个向位于端口127上的80.82.70.202开放了命令和控制服务器上的一个 TCP 套接字。这个僵尸使用的 XOR 混淆和 PureMasuta 中使用的密钥完全相同。
执行时,JenX 通过 TCP 会话(域名注册在 Calvos S.L.)连接至主机名为“skids.sancalvicie.com”的命令和控制服务器上。该服务器应该提供了一个命令行界面。
该代码提示了 Valve Source Engine Query 攻击 payload 的指标,可能是域名上侠盗猎车手圣安地列斯(GTA San Andreas,一款游戏的主角)多人模式服务器的原因。这个攻击向量包含于在2016年10月公布的原始 Mirai 代码中。研究人员认为这个僵尸网络是由 San Calvicie 黑客组织构建的,而且通过它们的 Clearnet 网站服务。
研究人员指出,“除非你经常玩侠盗猎车手圣安地列斯,否则你可能不会直接受影响。该僵尸网络应该服务于某个特定目的,而且用于干扰竞争对手侠盗猎车手圣安地列斯多人模式服务器的服务。我不认为这个僵尸网络会拿下整个互联网。不过它确实包含一些新的改进而且每个月增加的物联网设备速度越来越快也越来越多。”
两家收到问题通知的提供商已拿下位于数据库中心的利用服务器,不过一些服务器仍然呈活跃状态,而且僵尸网络仍然还在运行状态。然而,如果攻击者决定将利用服务器迁移到暗网,那么更加难以拿下僵尸网络,就跟 BrickerBot 的情况一样。
研究人员表示,“JenX 可被轻易隐藏并免遭打击。因为它们采取的是集中式扫描和利用的方式,黑客能轻易将利用操作迁移到提供离岸匿名VPS 和专用服务器服务的托管服务商处。而这些提供商并不关心滥用的问题。”
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
http://www.securityweek.com/new-botnet-recruiting-iot-devices