新型IoT僵尸网络“捉迷藏”来袭，并非Mirai变种网络安全公司 Bitdefender 的安全研究

小编用尽了洪荒之力，新型IoT僵尸网络“捉迷藏”来袭，并非Mirai变种的全部内容都在这里了，拿走不谢！

正文开始：

网络安全公司 Bitdefender 的安全研究人员发现，新型IoT僵尸网络“捉迷藏”（HNS）1月20日携大量“肉鸡”强势回归。其首次被发现是 2018年1月12日，截至1月25日，HNS 的“肉鸡”数量已从最初的 12 台扩充至 1.4 万台，也就是说，其在短短十几天内增长了1000多倍。

并非 Mirai 变种，但与针对中国 IOT 设备的 Hajime 类似

Bitdefender 高级电子威胁分析师 Bogdan Botezatu 认为，与目前大多数针对 IOT 设备的僵尸网络不同，HNS并非 Mirai 的变种，反而与专门攻击中国物联网设备的 Hajime 更加类似。

Hajime 又是何方神圣？说起来它也是很有个性的一款僵尸蠕虫了。

据此前诸多媒体的报道，它并不会执行恶意操作，也不包含任何分布式拒绝攻击（DDoS）功能与代码，反而每隔10分钟向被感染的设备推送一个消息：

我们是保护系统的白帽子。我们将通过此方法展示重要信息。

甚至Hajime还做了一系列改善安全性的动作，比如阻挡Mirai赖以攻击的端口（23、7547、5555和5358的访问），关闭这些端口，将有效组织设备被Mirai感染。

但是，有人觉得 Hajime 这种强行提供保护的方式并不合法，难保有一天 Hajime 的作者反戈。

根据 Hajime 的代码，制造者可以随时在网络中的人易受感染设备中打开 Shell 脚本。由于使用了模块化代码，设计者可以随时添加新的功能。一旦制作者改变主意打算搞点事情，便可以立即将受感染的设备转变成一个巨大的恶意僵尸网络。

Botezatu指出，HNS是继Hajime僵尸网络之后第二款具有点对点（P2P）架构的已知IoT僵尸网络。但就Hajime而言，P2P 功能建立在 BitTorrent 协议的基础之上，而HNS则具有自定义构建的 P2P 通信机制。

根据Botezatu在撰写的分析，每个僵尸程序都包含一个其他被感染机器人的IP列表，这个列表可以随着僵尸网络的增长和僵尸程序的丢失或获得而实时更新。

HNS 将中继指令和命令互相转发，类似于P2P协议的基础。 Botezatu 说 HNS 机器人可以接收和执行几种类型的命令，比如“数据泄露，代码执行和对设备操作的干扰”。

与 Hajime 一样，研究人员并未在 HNS 中发现 DDoS 攻击功能，也就是说 HNS 旨在作为代理网络进行部署，这与2017年大多数IoT僵尸网络被武器化的方式类似。此前，DDoS攻击引来太多关注，从而使得很多僵尸网络消失。

高度自定义化

HNS僵尸网络对具有开放 Telnet 端口的设备发起字典暴力破解攻击，这种传播机制与其独特的 P2P 僵尸管理协议一样，具有高度自定义化的特征。

Botezatu 解释，该僵尸程序具有类似蠕虫的传播机制，会随机生成IP地址列表，向其发送SYN报文探测端口（232323,80,8080）开放情况。一旦建立连接，该僵尸程序就会寻找 Banner（“buildroot login:”）。在获得该登录 Banner 后，它会尝试使用一系列预定义凭证进行登录。若获取失败，该僵尸网络会尝试使用硬编码列表发起字典攻击。

一旦与新的受害者建立会话，这个样本将会通过“状态机”运行，以此正确识别目标设备并选择最适合的攻击方式。例如，如果受害者与该僵尸程序位于同一局域网，该僵尸程序便会设置 TFTP 服务器，允许受害者下载这个样本。如果受害者在使用互联网，这个僵尸程序将会尝试通过特定的远程 Payload 传送方式让受害者下载并运行该恶意软件样本。这个列表可远程更新，并在遭遇感觉的主机中进行传播。

但值得庆幸的是，HNS 与所有 IoT 恶意软件一样，无法在被感染设备上建立持久性，也就是说设备重启时，这款恶意软件会被自动删除。这也使得相关人员要24小时全天候管理该僵尸网络，因为其创建者会持续监控该僵尸网络，以确保继续抓新的“肉鸡”。

HNS仍处在开发当中，杀伤力不容忽视

由于物联网是恶意软件领域的新宠，HNS也在不断变化，创建者正在探索新的传播和漫游管理技术。傻大方资讯编辑整理
傻大方资讯编辑整理
由于这些“新”僵尸网络中的许多在几个星期后就有消失的趋势，所以希望HNS的作者感到无聊，放弃他的“实验”。

专家表示，由1.4万个“肉鸡”组成的僵尸网络不容忽视，因为一般能够有一定“杀伤力”的僵尸网络，根本不需要几万个肉鸡，四五千就足矣。

傻大方资讯编辑整理
安全建议

Imperva 的安全研究员Nadav Avital认为：

“这个物联网僵尸网络的发现与最近Imperva对2017年漏洞研究的发现相呼应。随着物联网设备在我们现代生活中越来越受欢迎，它们也变得对网络犯罪分子更具吸引力。实际上，在2017年，我们记录的物联网漏洞数量创下记录，从2016年以来，这些漏洞数量翻了一番。

他还强调需要一个帐户接管解决方案，保护所有设备的网络存在。帐户接管是一个大问题，但这不是物联网供应商提供保护的问题。因此，组织部署安全的外部解决方案是一个好主意。

消息来源：bleepingcomputer，informationsecuritybuzz

戳蓝字查看更多精彩内容

探索篇

▼

暗网【上】| 暗网【下】

草榴社区|程序媛|以图搜图

心脏滴血|撞库攻击|黑客猎人

刷票|人肉|炸群|内鬼

恶性病毒怼天怼地怼对手

真相篇

▼

这是一场针对高级知识分子的裸聊诈骗

打“农药”刷金币：我的队友原来是个机器人

黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人

iPhone充电器可以当监听器？我到某宝试了下

当俄罗斯黑客遇到老虎机发家致富？

一个自动挖掘工具，能找到比核武器更可怕的漏洞

“老婆，开门”，隔壁老王带来的恐惧

无人机越狱? 资深女黑客一怒“打飞机”

自从安了智能门锁，家里闹妖精？

中国安全圈真实薪资曝光

人物篇

▼

道哥：重回阿里的29个月

黑客老王：一个人的黑客史

吴石：站在0和1之间的男人

黑客衰大：45天攻入姑娘的心

黑客段子手“呆子不开口”

“特斯拉破解第一人”刘健皓

唐青昊：虚拟世界的越狱者

MOSEC：盘古团队的野心优雅

让周鸿祎“三顾茅庐” 的黑客 MJ

美女黑客张婉桥的“爱丽丝奇遇记”

TK教主和玄武实验室的几个小故事

世界上最坚固的门轰塌后，如何再建

这个黑客在体内植入9块芯片后……

更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注

赞赏

长按二维码向我转账

受苹果公司新规定影响，微信 iOS 版的赞赏功能被关闭，可通过二维码转账支持公众号。

小编用尽了洪荒之力，新型IoT僵尸网络“捉迷藏”来袭，并非Mirai变种的全部内容都在这里了，拿走不谢！

正文开始：