重啟設備沒用了���!HNS惡意軟件開啟僵尸網(wǎng)絡“新時代”
2018年05月11日
重啟設備
重置操作會刷新設備的閃存���,能將保存在其中的所有工作數(shù)據(jù)刪除,包括物聯(lián)網(wǎng)惡意軟件�����。設備所有者通?�?梢灾刂迷O備���,以從智能設備�、調(diào)制調(diào)解器和路由器中刪除物聯(lián)網(wǎng)惡意軟件����,但惡意軟件 HNS 卻能在這樣的操作下“幸存”。
如何實現(xiàn)“設備重啟”后的駐留�����?
研究人員表示��,這款惡意軟件在某些情況下在將自己拷貝到 /etc/init.d/ 文件夾���,這是一個在基于 Linux 操作系統(tǒng)上的啟動進程文件夾��,因此設備操作系統(tǒng)會在下次重啟后自動啟動惡意軟件進程�。
已感染9萬臺 IoT 設備
HNS 僵尸網(wǎng)絡于2018年1月10日初次現(xiàn)身,在1月20日攜大量“肉雞”強勢回歸�����。1月25日�����,HNS 的“肉雞”數(shù)量已從最初的12臺擴充至1.4萬臺�;到1月底,該僵尸網(wǎng)絡已經(jīng)“抓了”約3.2萬臺“肉雞”�����。截至目前�,該惡意軟件已感染了9萬臺設備。
HNS 是第二款具有P2P架構(gòu)的IoT 僵尸網(wǎng)絡
HNS 惡意軟件具有連 Mirai 都無法實現(xiàn)的功能�����。Bitdefender 的研究人員格丹·博泰扎圖指出�,HNS不同于最近幾周出現(xiàn)的其它IoT僵尸網(wǎng)絡�����,它并非是 Mirai 的另一變種,反而與 Hajime 更加類似��。
博泰扎圖指出�,HNS 是繼 Hajime 僵尸網(wǎng)絡之后,已知的第二款具有點對點(peer-to-peer��,簡稱P2P)架構(gòu)的 IoT 僵尸網(wǎng)絡��。但就 Hajime 而言��,P2P 功能建立在 BitTorrent 協(xié)議的基礎之上���,而 HNS 則具有自定義構(gòu)建的 P2P 通信機制����。
該僵尸網(wǎng)絡背后的操縱者利用兩個漏洞(AVTECH網(wǎng)絡攝像頭 A/NVR/DVR PWDGRP.CGI 提權漏洞和 Wansview NCS601W 網(wǎng)絡攝像頭的一個漏洞)創(chuàng)建了初始的僵尸網(wǎng)絡����。與如今其它活躍的物聯(lián)網(wǎng)僵尸網(wǎng)絡不同的是,它使用自定義 P2P 協(xié)議控制被感染的系統(tǒng)���。
最新 HNS 惡意軟件不僅可以利用另外兩個漏洞�,還支持暴力破解操作,被感染的設備將掃描暴露了 Telnet 端口的其它設備����,并嘗試使用預設憑證登錄設備。研究人員指出�����,HNS 的開發(fā)人員還有時間調(diào)整這個暴力破解方法�,此外,這款惡意軟件能識別至少兩種類型的設備���,并試圖使用出廠默認憑證登錄這些系統(tǒng)���,而不是盲目猜測密碼。
此外�,HNS 代碼庫還會接收更新,目前已擁有針對10種不同設備架構(gòu)的10種二進制����。
持續(xù)駐留的前提:感染通過Telnet進行
值得慶幸的是,HNS 尚無法在所有被感染上的設備上持續(xù)駐留����。博泰扎圖表示,HNS 要維持持久性其感染必須通過 Telnet 進行�,因為需要 root 權限將二進制文件拷貝到 init.d 目錄。
HNS 僵尸網(wǎng)絡目前仍處于發(fā)展階段��,且這款惡意軟件仍不支持發(fā)起 DDoS 攻擊�����。盡管如此���,HNS 可在被感染的設備上竊取數(shù)據(jù)并執(zhí)行代碼���,這意味著該僵尸網(wǎng)絡支持插件/模塊系統(tǒng),并且可以隨時利用任何類型的惡意代碼進行擴展�,仍需予以警惕。
注:本文由E安全編譯報道
江蘇國駿--幫您落實“業(yè)務不停���、數(shù)據(jù)不丟�����、管理不難”的整體信息安全目標?��。?/span>CIA)
產(chǎn)品方案應用:網(wǎng)絡安全�����,數(shù)據(jù)安全�,運維管理���;
人員能力提升:崗位評估�,培訓認證�����,意識教育��;
制度流程落地:制度建設�,合規(guī)檢查,追責溯源��;
專業(yè)服務保障:顧問咨詢��,風險測評�,安全加固。
