近日,安全專家 Ankit Anubhav 又發(fā)現(xiàn)了新黑客工具,它已經(jīng)在數(shù)個(gè)地下黑客論壇上部署了后門程序。這個(gè)黑客工具是一個(gè)免費(fèi)的 PHP 腳本,允許用戶掃描互聯(lián)網(wǎng)上一些比較容易受到攻擊的 IP 攝像頭,這些攝像頭程序基本基于 GoAhead 開源嵌入式 Web Server 運(yùn)行。(注:GoAhead是一個(gè)開源、簡(jiǎn)單、輕巧、功能強(qiáng)大、可以在多個(gè)平臺(tái)運(yùn)行的嵌入式 Web Server。GoAhead Web Server是為嵌入式實(shí)時(shí)操作系統(tǒng)量身定制的 Web 服務(wù)器。)
Ankit Anubhav 在一篇博文寫道:
“針對(duì)使用嵌入式 GoAhead 服務(wù)器物聯(lián)網(wǎng)設(shè)備的黑客市場(chǎng)似乎非常火熱,這是因?yàn)榇罅?IP 攝像頭可以被黑客利用 CVE-2017–8225 這樣的漏洞輕松入侵,而且這種黑客手段已經(jīng)被 IoTroop/Reaper僵尸網(wǎng)絡(luò)成功采用了。”
“2017年10月22日,我們觀察到一個(gè)經(jīng)常托管物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)腳本的暗網(wǎng),他們提供了一段新腳本代碼,并標(biāo)記為 NEW IPCAM EXPLOIT。這個(gè)腳本可幫助黑客找到一些容易受到攻擊的、使用嵌入式 GoAhead 服務(wù)器的物聯(lián)網(wǎng)設(shè)備,讓黑客工作更輕松。”
可是,安全專家分析了這個(gè)“NEW IPCAM EXPLOIT”代碼腳本,發(fā)現(xiàn)竟包含了攻擊黑客的惡意代碼,這意味著,如果這個(gè)工具被部署在某個(gè)僵尸網(wǎng)絡(luò),那么該腳本背后的黑客就能使用工具來(lái)接管它。
經(jīng)過(guò)全方位解碼后,安全專家們發(fā)現(xiàn),“NEW IPCAM EXPLOIT ”惡意腳本會(huì)通過(guò)檢查所有“GoAhead-Webs”標(biāo)記,掃描 GoAhead 嵌入式服務(wù)器上的全網(wǎng)設(shè)備。但在腳本底部有一個(gè)后門程序,它會(huì)使用一個(gè) shell 腳本連接到一個(gè)“惡意服務(wù)器”,然后下載一個(gè)二級(jí)腳本,再執(zhí)行該腳本。
這個(gè)“ NEW IPCAM EXPLOIT ”物聯(lián)網(wǎng)掃描腳本按照以下四個(gè)步驟操作:
1、該黑客腳本會(huì)掃描一組 IP 地址,查詢到一些比較容易追蹤的 GoAhead 服務(wù)器,這些服務(wù)器通常都可以通過(guò) CVE-2017–8225 這樣的漏洞繞過(guò)身份驗(yàn)證。利用這些漏洞,“ NEW IPCAM EXPLOIT ”腳本會(huì)侵入到Wireless IP Camera (P2P) WIFI CAM 設(shè)備中。
2、接下來(lái),“ NEW IPCAM EXPLOIT ”腳本會(huì)創(chuàng)建一個(gè)用戶賬號(hào)(用戶名:VM|密碼:Meme123),之后會(huì)在網(wǎng)絡(luò)犯罪者的系統(tǒng)上建立一個(gè)秘密后門,然后獲得被侵入系統(tǒng)相同的特權(quán)。
3、第三步,“NEW IPCAM EXPLOIT”黑客腳本會(huì)確定網(wǎng)絡(luò)犯罪者系統(tǒng)的 IP 地址,以便遠(yuǎn)程訪問(wèn)受到惡意軟件感染的系統(tǒng)。
4、“ NEW IPCAM EXPLOIT ”黑客腳本會(huì)在被感染者的系統(tǒng)上運(yùn)行一個(gè)二級(jí)負(fù)載,而在某些特定情況下,該腳本還會(huì)安裝 Kaiten 惡意軟件。
雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng))了解到,外媒 BleepingCompuer 的安全專家對(duì)該惡意軟件又進(jìn)行了深入研究,發(fā)現(xiàn)這款黑客軟件的開發(fā)者已經(jīng)將其作為一款黑客工具,發(fā)布上傳到了互聯(lián)網(wǎng)上。
據(jù) BleepingComputer 網(wǎng)站的一篇報(bào)道稱:
“通過(guò)深入挖掘這款后門程序開發(fā)者曾經(jīng)使用過(guò)的一些 ID,我們發(fā)現(xiàn)這不是他第一次發(fā)布類似的后門惡意軟件,他此前也曾和其他一些黑客交過(guò)手,因?yàn)?Anubhav 在追蹤這名黑客的時(shí)候發(fā)現(xiàn)了一個(gè)文檔,其中羅列了不少其他黑客的名字。”
京公網(wǎng)安備 11010502049343號(hào)