網絡安全公司 Bitdefender 的安全研究人員發現新型IoT僵尸網絡“捉迷藏”(HNS)。專家稱,該僵尸網絡于2018年1月10日初次現身,1月20日攜大量“肉雞”強勢回歸。截至1月25日,HNS 的“肉雞”數量已從最初的12臺擴充至1.4萬臺。
Bitdefender公司高級電子威脅分析師格丹·博泰扎圖(Bogdan Botezatu)指出,不同于最近幾周出現的其它IoT僵尸網絡,HNS并非Mirai的另一變種,反而與Hajime更加類似。
博泰扎圖指出,HNS是繼Hajime僵尸網絡之后第二款具有點對點(peer-to-peer,簡稱P2P)架構的已知IoT僵尸網絡。但就Hajime而言,P2P 功能建立在BitTorrent 協議的基礎之上,而HNS則具有自定義構建的P2P通信機制。
博泰扎圖在分析報告中指出,HNS的每臺“肉雞”都包含其它“肉雞”的IP 列表。這個列表可隨僵尸網絡的規模以及“肉雞”數量實時更新。
HNS“肉雞”會相互傳遞指令和命令,類似于 P2P 協議的基礎。博泰扎圖指出,一個 HNS“肉雞”能夠接收并執行多種命令類型,例如數據泄露、代碼執行以及干擾設備操作。
專家尚未發現 DDoS 功能
出人意料的是,研究人員并未在HNS中發現DDoS攻擊功能,也就是說 HNS旨在作為代理網絡進行部署,這與2017年大多數IoT僵尸網絡被武器化的方式類似。此前,DDoS攻擊引來太多關注,從而使得很多僵尸網絡消失。
高度自定義化
HNS僵尸網絡對具有開放 Telnet 端口的設備發起字典暴力破解攻擊,這種傳播機制與其獨特的 P2P 僵尸管理協議一樣,具有高度自定義化的特征。
博泰扎圖解釋稱,該僵尸程序具有類似蠕蟲的傳播機制,會隨機生成IP地址列表,向其發送SYN報文探測端口(232323,80,8080)開放情況。一旦建立連接,該僵尸程序就會尋找Banner(“buildroot login:”)。在獲得該登錄Banner后,它會嘗試使用一系列預定義憑證進行登錄。若獲取失敗,該僵尸網絡會嘗試使用硬編碼列表發起字典攻擊。
一旦與新的受害者建立會話,這個樣本將會通過“狀態機”運行,以此正確識別目標設備并選擇最適合的攻擊方式。例如,如果受害者與該僵尸程序位于同一局域網,該僵尸程序便會設置TFTP服務器,允許受害者下載這個樣本。如果受害者在使用互聯網,這個僵尸程序將會嘗試通過特定的遠程Payload傳送方式讓受害者下載并運行該惡意軟件樣本。這個列表可遠程更新,并在遭遇感覺的主機中進行傳播。
但值得慶幸的是,HNS 與所有 IoT 惡意軟件一樣,無法在被感染設備上建立持久性,也就是說設備重啟時,這款惡意軟件會被自動刪除。這也使得相關人員要24小時全天候管理該僵尸網絡,因為其創建者會持續監控該僵尸網絡,以確保繼續抓新的“肉雞”。
HNS仍處在開發當中由于 HNS 是新晉 IoT 僵尸網絡,其創建者會探索新的傳播方式和“肉雞”管理技術,因此還處在不斷變化的狀態當中。專家表示,由1.4萬個“肉雞”組成的僵尸網絡不容忽視,因為一般能夠有一定“殺傷力”的僵尸網絡,根本不需要幾萬個肉雞,四五千就足矣。
京公網安備 11010502049343號