安全研究员发现了首款在设备重启后仍然存活而且在执行首次攻陷后仍然停留在受感染设备上的物联网僵尸网络。

这款恶意软件是物联网和路由器恶意软件领域的重大突破。之前,设备所有人只需重置设备就可从智能设备、调制解调器和路由器中删除物联网恶意软件。重置操作能够刷新存储着包括物联网恶意软件在内的所有工作数据的闪存。

HNS 恶意软件自我复制至 /etc/init.d/

如今,Bitdefender 公司的研究员发现了一款物联网僵尸网络 HNS (Hide and Seek,原意是“捉迷藏”),它能在某些情况下自我复制至 /etc/init.d/ 文件夹中。该文件夹将守护进程脚本托管在 Linux 操作系统中,类似于托管在路由器和物联网设备上的守护进程脚本。

自我复制至这个目录后,设备的操作系统会在下次重启后自动启动恶意软件进程。结果HNS 僵尸网络就能实现甚至是 Mirai 僵尸网络也无法实现的目标。

HNS 在几个月内大幅演进

Bitdefender 公司的安全专家首次在今年1月初发现了 HNS 恶意软件及僵尸网络,而在1月底它就增长为由3.2万个僵尸组成的僵尸网络。安全专家表示,从发现到现在,HNS 已经感染了超过9万台唯一设备。

犯罪分子使用两个利用创建了最初的僵尸网络,这种做法和如今活跃的其它物联网僵尸网络大不相同,因为 HNS 僵尸网络使用自定义 P2P 协议控制受感染系统。目前,安全专家找到的 HNS 新版本不仅支持这两个利用,而且还支持暴力攻击。也就是说,受 HNS 感染的设备会扫描其它暴露了 Telnet 端口的设备,并试图利用预设凭证登录该设备。

安全研究员表示,HNS 作者曾优化调整这个暴力攻击计划,因为 HNS 能够找到至少两种类型的设备并试图通过出厂默认凭证而非盲目地猜测密码的方式登录到这些系统中。

另外,HNS 代码基也得到更新,该僵尸现在已拥有十种不同设备架构的十种二进制。

并非所有的 HNS 僵尸都能获得启动权限

但 HNS 无法在所有受感染设备上获得启动权限。Bitdefender 公司的电子威胁分析师 Bogdan Botezatu 表示,“为了达到可持续性目的,感染必须通过 Telnet 实施,因为将二进制复制到 init.d 目录中要求获得 root 权限。”

Botezatu 指出,HNS 僵尸网络仍然还处于开发阶段,HNS 恶意软件仍然不支持发动 DDoS 攻击。

尽管如此,HNS 僵尸网络仍然能够具有从受感染设备窃取数据并执行代码的功能,也就是说该僵尸网络支持插件/模块系统且能以任何恶意代码在任何时点进行扩张。

本文由360代码卫士翻译自BleepingComputer

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。