4月30日,罗马尼亚的安全商Bitdefender的研究人员对外发布了他们所检测到的一种僵尸网络,该僵尸网络是第一个能在设备重启后继续存活的僵尸网络。目前,研究人员已将它命名为“Hide and Seek(HNS)”,这个名字起得也很有意思,翻译成中文就是“躲猫猫”,不过这也符合其行为模式。
简单来说,该僵尸网络有两个世界第一。首先,它是世界上第一个通过点对点(peer-to-peer,简称P2P)架构进行通信的僵尸网络。其次,它也是第一个能在设备重启后继续存活的僵尸网络。
“Hide and Seek”的迭代攻击过程
HNS于2018年1月10日初次现身,在1月20日携大量“肉鸡”强势出现。1月25日,HNS的僵尸网络数量已从最初的12台扩充至1.4万台,到1月底,数量就有大约3.2万台了。截至目前,该恶意软件已感染了9万台设备。
从最初发现到现在,HNS经历了多次更新,这从其性能的不断完善就可以看出,另一方面也证明这个僵尸网络还在研发阶段,还未投入正式使用。
比如,HNS在4月下旬的新样本就增加了传播方面的很多改进功能。开发者在新的二进制文件中,加入了对两个网络摄像头漏洞的利用,这两个漏洞分别是AVTECH网络摄像头A/NVR/DVR PWDGRP.CGI 提权漏洞和Wansview NCS601W网络摄像头的一个漏洞。除此之外,最新的版本还会进行设备密码的暴力破解,被感染的设备将扫描暴露了Telnet端口的其它设备,并尝试使用预设凭证登录设备,要说明的是,该僵尸网络会以出厂时的默认凭证登录作为暴力破解的基础,而不是盲目猜测登录凭证。尽管如此,HNS的开发人员还在对目前的暴力破解方法进行更新。如果暴力破解登录成功,恶意软件会限制对端口23的访问,从而阻止可能的竞争对手来劫持同一个设备。
除了利用这些漏洞之外,HNS还可以识别两种新类型的设备并利用其默认用户名和密码进行登录。
研究人员发现,这种攻击方法针对各种流行的设备和安全架构,研究表明,该僵尸程序有10种不同的二进制文件,包括x86,x64,ARM(Little Endian和Big Endian),SuperH,PPC等。
进行持久攻击的原理
一旦感染成功执行,该恶意软件会将在自己自行复制到受害者的/etc/init.d/文件夹中,然后再将该文件夹添加到自己的恶意操作系统中。为了实现持久攻击,感染必须通过Telnet进行,因为需要root权限才能将二进制文件复制到init.d目录。
随后它会随机打开一个传播到临近僵尸网络上的UDP端口,这个端口将被攻击者用来与后台进行联系,进行各种操作,比如HNS代码库进行更新。
HNS的危害性
庆幸的是最新版本支持的命令列表与早期版本并没有太大的变化,该僵尸网络仍然不支持DDoS攻击,这样其被广泛利用的机会就很少了。
缓解措施
由于还在研发阶段,所以目前该恶意软件还是能够被删除的,具体办法请点此。尽管如此,HNS还是能在被感染的设备上窃取数据并执行代码,这意味着该僵尸网络支持插件或模块系统,并且可以随时利用任何类型的恶意代码进行扩展。所以,我们还是要保持警惕。
研究人员用于这项研究的样本标识为9ef7ed8af988d61b18e1f4d8c530249a1ce76d69和c6d6df5a69639ba67762ca500327a35b0e3950b0。
原文发布时间为:2018-05-18