Leiphone雷锋网

文章数:14978 被阅读:71966707

账号入驻

新型 IoT僵尸网络“捉迷藏”来袭,并非Mirai 变种

最新更新时间:2021-09-01 18:17
    阅读数:

文 | 郭佳

来自雷锋网(leiphone-sz)的报道

网络安全公司 Bitdefender 的安全研究人员发现,新型IoT僵尸网络“捉迷藏”(HNS)1月20日携大量“肉鸡”强势回归。其首次被发现是 2018年1月12日,截至1月25日,HNS 的“肉鸡”数量已从最初的 12 台扩充至 1.4 万台,也就是说,其在短短十几天内增长了1000多倍。

并非 Mirai 变种,但与针对中国 IOT 设备的 Hajime 类似

Bitdefender 高级电子威胁分析师 Bogdan Botezatu 认为,与目前大多数针对 IOT 设备的僵尸网络不同,HNS并非 Mirai 的变种,反而与专门攻击中国物联网设备的 Hajime 更加类似。

 Hajime 又是何方神圣?说起来它也是很有个性的一款僵尸蠕虫了。

据此前诸多媒体的报道,它并不会执行恶意操作,也不包含任何分布式拒绝攻击(DDoS)功能与代码,反而每隔10分钟向被感染的设备推送一个消息:

我们是保护系统的白帽子。我们将通过此方法展示重要信息。

雷锋网发现,Hajime还做了一系列改善安全性的动作,比如阻挡Mirai赖以攻击的端口(23、7547、5555和5358的访问),关闭这些端口,将有效组织设备被Mirai感染。

但是,有人觉得 Hajime 这种强行提供保护的方式并不合法,难保有一天 Hajime 的作者反戈。

根据 Hajime 的代码,制造者可以随时在网络中的人易受感染设备中打开 Shell 脚本。由于使用了模块化代码,设计者可以随时添加新的功能。一旦制作者改变主意打算搞点事情,便可以立即将受感染的设备转变成一个巨大的恶意僵尸网络。

Botezatu 指出,HNS是继 Hajime 僵尸网络之后第二款具有点对点(P2P)架构的已知IoT僵尸网络。但就 Hajime 而言,P2P 功能建立在 BitTorrent 协议的基础之上,而HNS则具有自定义构建的 P2P 通信机制。

根据Botezatu在撰写的分析,每个僵尸程序都包含一个其他被感染机器人的IP列表,这个列表可以随着僵尸网络的增长和僵尸程序的丢失或获得而实时更新。

HNS 将中继指令和命令互相转发,类似于P2P协议的基础。 Botezatu 说 HNS 机器人可以接收和执行几种类型的命令,比如“数据泄露,代码执行和对设备操作的干扰”。

与 Hajime 一样,研究人员并未在 HNS 中发现 DDoS 攻击功能,也就是说 HNS 旨在作为代理网络进行部署,这与2017年大多数IoT僵尸网络被武器化的方式类似。此前,DDoS攻击引来太多关注,从而使得很多僵尸网络消失。

高度自定义化

HNS僵尸网络对具有开放 Telnet 端口的设备发起字典暴力破解攻击,这种传播机制与其独特的 P2P 僵尸管理协议一样,具有高度自定义化的特征。

Botezatu 解释,该僵尸程序具有类似蠕虫的传播机制,会随机生成IP地址列表,向其发送SYN报文探测端口(232323,80,8080)开放情况。一旦建立连接,该僵尸程序就会寻找 Banner(“buildroot login:”)。在获得该登录 Banner 后,它会尝试使用一系列预定义凭证进行登录。若获取失败,该僵尸网络会尝试使用硬编码列表发起字典攻击。

雷锋网发现,一旦与新的受害者建立会话,这个样本将会通过“状态机”运行,以此正确识别目标设备并选择最适合的攻击方式。例如,如果受害者与该僵尸程序位于同一局域网,该僵尸程序便会设置 TFTP 服务器,允许受害者下载这个样本。如果受害者在使用互联网,这个僵尸程序将会尝试通过特定的远程 Payload 传送方式让受害者下载并运行该恶意软件样本。这个列表可远程更新,并在遭遇感觉的主机中进行传播。

但值得庆幸的是,HNS 与所有 IoT 恶意软件一样,无法在被感染设备上建立持久性,也就是说设备重启时,这款恶意软件会被自动删除。这也使得相关人员要24小时全天候管理该僵尸网络,因为其创建者会持续监控该僵尸网络,以确保继续抓新的“肉鸡”。

HNS仍处在开发当中,杀伤力不容忽视

由于物联网是恶意软件领域的新宠,HNS也在不断变化,创建者正在探索新的传播和漫游管理技术。

由于这些“新”僵尸网络中的许多在几个星期后就有消失的趋势,所以希望HNS的作者感到无聊,放弃他的“实验”。

专家表示,由1.4万个“肉鸡”组成的僵尸网络不容忽视,因为一般能够有一定“杀伤力”的僵尸网络,根本不需要几万个肉鸡,四五千就足矣。

安全建议

Imperva 的安全研究员Nadav Avital认为:

“这个物联网僵尸网络的发现与最近Imperva对2017年漏洞研究的发现相呼应。随着物联网设备在我们现代生活中越来越受欢迎,它们也变得对网络犯罪分子更具吸引力。 实际上,在2017年,我们记录的物联网漏洞数量创下记录,从2016年以来,这些漏洞数量翻了一番。

他还强调需要一个帐户接管解决方案,保护所有设备的网络存在。 帐户接管是一个大问题,但这不是物联网供应商提供保护的问题。 因此,组织部署安全的外部解决方案是一个好主意。

雷锋网编译自 bleepingcomputer,informationsecuritybuzz

滑动查看更多信息!

雷锋网正在招聘业界记者/编辑,坐标北京


岗位职责:


跟踪国内外科技行业大公司和独角兽动态,特别是人工智能方面的动态,深度挖掘科技行业背后的故事。


岗位要求:


1、科技媒体1-3年从业经验,AI相关背景是加分项;

2、积极主动,有责任心;

3、想法独道,思维辩证;

4、英语优秀,有技术教育从业背景的也可加分。


在这里,你能获得什么?


1、接触当下最新科技趋势以及最热门的公司,与业内和专业人士深入交流;

2、针对性的培训指导;

3、快速自我成长的机会。


工作地址


北京市 - 海淀区 - 苏州街 - 长远天地大厦-b1座1006


简历发送至 liufangping@leiphone.com,或通过拉勾网投递:https://www.lagou.com/jobs/2977550.html

  ◆  

推荐阅读


   智能投顾高级特训班   


随着大众互联网理财观念的逐步普及,理财规模随之扩大,应运而生的智能投顾,成本低、风险分散、无情绪化,越来越多的中产阶层、大众富裕阶层已然在慢慢接受。王蓁博士将以真实项目带你走上智能投顾之路,详情点戳阅读原文链接或长按识别下方二维码~


推荐帖子

Wince下如何禁止系统自动弹出电量低的警告!
Wince下如何禁止系统自动弹出电量低的警告! 因为我们自己做了一个shell,所以需要禁止系统自动弹出的所有消息,不然界面上很难看。这个电量低的警告由我们自己来做,不需要系统的。 望大侠们赐教!Wince下如何禁止系统自动弹出电量低的警告!
nettop WindowsCE
联通的WCDMA,用的人多么?
今天中午一个朋友说他换手机号码了, 也号召我换。 我此前的GSM也用得联通的号码,不知道有没有体验过WCDMA的,或者系统内人士,给点建议~~~联通的WCDMA,用的人多么?
john_wang RF/无线
手机,聚合一切服务的万能之源
林林总总的“以你为中心”的互联网服务和手机平台的结合,将释放出巨大的能量  “网络是第四媒体,手机是第五媒体。”这已经成了一种概念。如果网络与手机进行了联合,它将是第几媒体?海量用户、可携带性以及支付渠道是手机能成为一种新型媒体的潜力所在。手机已经不能被单纯地看作是微型PC、或者微型电视,它同时具备PC、电视和照相机的部分功能,如果能够和网络有效结合,它将是潜力无穷的媒体终端。  神舟六号轰然上天,让手机媒体大出风头。你不必坐在电视机前,不必坐在电脑前,只要打开手机,上网,就能看到来自中央电
mdreamj RF/无线
esp32-s2-wrover升级了micropython 1.18版本之后启动不了
自己的就是s2-wrover,所以下载下面这个版本,按几次复位键还是不行,不知道咋回事。 esp32-s2-wrover升级了micropython1.18版本之后启动不了
123wr MicroPython开源版块
MSP430F149单片机实现温控仪
温度控制对于工业和日常生活等领域都具有广阔的应用前景,很多应用领域,需要精度较高的恒温控制,由于其控制具有非线性、时滞性和不确定性,用传统的控制达不到好的控制效果。模糊控制是一种基于规则的控制,它直接采用语言型控制规则,出发点是现场操作人员的控制经验或相关专家的知识,其鲁棒性强,干扰和参数变化对控制效果的影响被大大减弱,所以特别适合于0~100℃温度的精确控制。   MSP430系列单片机是一个16位的、具有精简指令集的、超低功耗的混合型单片机。MSP430F149单片机采用了精简指令(RIS
fish001 微控制器 MCU
恩智浦推出跨界处理器i.MX RT1170,主频高达1个G,你怎么看?好玩?好上手不?
最近,恩智浦推出了新品处理器i.MXRT1170,听说主频高达1个G!什么概念?一般的MCU,像大家熟悉的ST的MCU,主频一般在几十M到几百M之间,而恩智浦i.MXRT1170直接高达1个G,跨度不是一般的大!要真能达到这么高,那确实挺厉害的!那么性能到底怎么样呢?来看看官网的资料介绍: i.MXRT1170产品简介 i.MXRT1170vs.i.MXRT1060 为了便于快速了解i.MXRT1170上的
okhxyyo 测评中心专版

最新有关Leiphone雷锋网的文章

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: TI培训

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2021 EEWORLD.com.cn, Inc. All rights reserved