ESET安全公司的研究人員發現一款惡意軟件，以物聯網設備如路由器、網關和無線接入點等為攻擊目標。

Bot后門”與“掃描器”的雜交

該惡意程序被稱為KTN-Remastered 或 KTN-RM，是Tsunami (或 Kaiten)以及 Gafgyt的結合。Tsunami是眾所周知的IRC(互聯網中繼聊天)Bot后門，被惡意攻擊者用于發起DDOS攻擊，而Gafgyt用于遠程登錄掃描。

KTN-RM，研究人員也稱其為“Remaiten”，通過下載可執行的惡意二進制文件，感染嵌入式平臺和其他連接設備。

ESET公司在官方微博上發布的文章中這樣說道：

“最近，我們發現了一個結合了Tsunami(也稱為Kaiten)和Gafgyt的功能的惡意軟件，此外，它還具備一些改進和新增功能。我們把這種新的威脅稱之為Linux/ Remaiten。到目前為止，我們已經發現Linux / Remaiten的三個版本，版本2.0，2.1和2.2。根據代碼顯示結果，發現者將這種新的惡意軟件稱之為“KTN-Remastered” 或是 “KTN-RM”。”

Linux惡意軟件是如何運行的？

該惡意軟件首先進行遠程登錄掃描，尋找路由器和智能設備。一旦連接成功，惡意軟件將對登錄憑據進行猜測，試圖掌控一些存在弱口令的設備。

如果成功登錄，惡意軟件會發出一個shell命令給下載機器人，下載針對多種系統架構的惡意二進制文件，隨后將其運行在受損系統上。

ESET的安全研究人員還發現，這些二進制文件包括C&C服務器的IP地址硬編碼列表，機器人還將受感染的設備信息(即IP地址、登錄憑據、感染狀態)發送至控制服務器上。

“當指令執行遠程登錄掃描，它會嘗試連接23端口的隨機IP地址。如果連接成功，它會嘗試從用戶名/密碼組合的嵌入列表中猜測登錄憑據。如果成功登錄，它會發出一個shell命令給下載機器人，下載針對多種架構的惡意二進制文件，并試圖運行它們。這是一個盡管看起來略顯繁瑣卻很簡單的感染新的設備的方式，因為很可能就存在一個二進制文件可以在運行程序中執行。”