查看原文
其他

“捉迷藏”僵尸网络增加针对安卓设备的感染向量

Ionut Ilascu 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队

自今年年初现身以来,“捉迷藏 (Hide and Seek)”物联网僵尸网络已在通过新向量增强其感染能力。最新僵尸网络样本寻找的是开启无线调试功能的安卓设备。

虽然物联网僵尸网络每天都出现一批消失一批,但“捉迷藏”是通过几天内快速感染超过9万台设备的方式引发人们的注意。最新版本中观测到的新型感染机制并没有利用某个漏洞,而是对设备的错误配置,这些设备配备通过 WiFi 连接的活跃 Android Debug Bridge (ADB)。

虽然安卓默认关闭这个选项,但设备厂商在生产阶段为了为产品定制化操作系统而将其开启。用户必须手动启动。

数千台设备成待宰羔羊

“捉迷藏”利用设备厂商的这种疏忽将其影响力扩展至数以万计的潜在僵尸。

Bitdefender 公司的安全研究员自从1月10日开始就一直在追踪“捉迷藏”僵尸网络的动向,并监控添加至新版本的新功能。电子威胁高级分析师 Liviu Arsene 表示,“这种新发现的样本通过利用安卓设备中的 ADB WiFi 功能添加功能,而在通常情况下开发人员通过 ADB 调试错误。”

利用开放的 ADB 连接并不新鲜。2月份就曾有报告指出,某僵尸网络释放了一个密币挖矿软件。

Bitdefender 表示,“捉迷藏”可将4万个新设备添加至僵尸军队,其中多数设备位于中国台湾、韩国和中国其它地区。

目前阶段主要着力于规模增长

Bitdefender 公司的首席安全研究员 Alex Balan 表示,“捉迷藏”僵尸网络目前的目的似乎只是增长规模。尽管它支持数据渗透和代码执行功能,但研究员尚未看到“捉迷藏”对其使用。另外,尚未看到发动 DDoS 攻击的模块,而这是僵尸网络变现的一种主要方法。

僵尸网络增加尽可能多的设备类型

从一开始,“捉迷藏”就清楚地表明并不在意所感染设备的类型。它首先针对的是 IP 摄像头,之后扩展至 DVR、NVR 和 IPTV 盒子。现在安卓设备也它纳入感染范围。

“捉迷藏”的开发人员为多个基础架构编译了二进制,包括 MIPS、ARM、Motorola 68020、SuperH、PowerPC、x86 和 x64。他们还开发了一个自定义 P2P 机制用于和其它受感染系统通信。

此外,“捉迷藏”恶意软件还增加了持久性能力,使其能够在受感染路由器重启后仍然存活。

“捉迷藏”僵尸网络现在使用的感染向量包括 telnet 扫描和暴力攻击,利用的是 AVTECH IP 摄像头、NVR 和 DVR 中的一个漏洞;利用 Wansview NCS601W 摄像头并扫描针对 ADB 连接的开放的 TCP 端口5555,。

 


推荐阅读

HNS:从物联网扩展至跨平台的僵尸网络

HNS:首个能在设备重启后存活的物联网僵尸网络

HNS 物联网僵尸网络来势凶猛 已在全球迅速结集 1.4万个僵尸


原文链接

https://www.bleepingcomputer.com/news/security/hide-and-seek-botnet-adds-infection-vector-for-android-devices/


本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存