新闻快讯
< >

重启设备没用了!HNS恶意软件开启僵尸网络“新时代”

E安全5月10日讯 罗马尼亚安全公司 BitDefender的 安全研究人员发现,“捉迷藏”(Hide and Seek,简称 HNS)物联网僵尸网络恶意软件添新功能,能在设备重启后存活,在完成初始感染后仍能继续驻留在被感染设备上。这是首个能在设备重启后存活的此类恶意软件。

 “捉迷藏”:首个能在设备重启后幸存的IoT僵尸网络-E安全

重启设备

重置操作会刷新设备的闪存,能将保存在其中的所有工作数据删除,包括物联网恶意软件。设备所有者通常可以重置设备,以从智能设备、调制调解器和路由器中删除物联网恶意软件,但恶意软件 HNS 却能在这样的操作下“幸存”。

如何实现“设备重启”后的驻留?

研究人员表示,这款恶意软件在某些情况下在将自己拷贝到 /etc/init.d/ 文件夹,这是一个在基于 Linux 操作系统上的启动进程文件夹,因此设备操作系统会在下次重启后自动启动恶意软件进程。

已感染9万台 IoT 设备

HNS 僵尸网络于2018年1月10日初次现身,在1月20日携大量“肉鸡”强势回归。1月25日,HNS 的“肉鸡”数量已从最初的12台扩充至1.4万台;到1月底,该僵尸网络已经“抓了”约3.2万台“肉鸡”。截至目前,该恶意软件已感染了9万台设备。

HNS 是第二款具有P2P架构的IoT 僵尸网络

HNS 恶意软件具有连 Mirai 都无法实现的功能。Bitdefender 的研究人员格丹·博泰扎图指出,HNS不同于最近几周出现的其它IoT僵尸网络,它并非是 Mirai 的另一变种,反而与 Hajime 更加类似。

博泰扎图指出,HNS 是继 Hajime 僵尸网络之后,已知的第二款具有点对点(peer-to-peer,简称P2P)架构的 IoT 僵尸网络。但就 Hajime 而言,P2P 功能建立在 BitTorrent  协议的基础之上,而 HNS 则具有自定义构建的 P2P 通信机制。

该僵尸网络背后的操纵者利用两个漏洞创建了初始的僵尸网络。与如今其它活跃的物联网僵尸网络不同的是,它使用自定义 P2P 协议控制被感染的系统。

最新 HNS 恶意软件不仅可以利用另外两个漏洞(AVTECH网络摄像头 A/NVR/DVR PWDGRP.CGI 提权漏洞和 Wansview NCS601W 网络摄像头的一个漏洞),还支持暴力破解操作,被感染的设备将扫描暴露了 Telnet 端口的其它设备,并尝试使用预设凭证登录设备。研究人员指出,HNS 的开发人员还有时间调整这个暴力破解方法,此外,这款恶意软件能识别至少两种类型的设备,并试图使用出厂默认凭证登录这些系统,而不是盲目猜测密码。

此外,HNS 代码库还会接收更新,目前已拥有针对10种不同设备架构的10种二进制。

持续驻留的前提:感染通过Telnet进行

值得庆幸的是,HNS 尚无法在所有被感染上的设备上持续驻留。博泰扎图表示,HNS 要维持持久性其感染必须通过 Telnet 进行,因为需要 root 权限将二进制文件拷贝到 init.d 目录。

HNS 僵尸网络目前仍处于发展阶段,且这款恶意软件仍不支持发起 DDoS 攻击。尽管如此,HNS 可在被感染的设备上窃取数据并执行代码,这意味着该僵尸网络支持插件/模块系统,并且可以随时利用任何类型的恶意代码进行扩展,仍需予以警惕。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。