新型殭屍網路「捉迷藏」迅速蔓延，2萬多部IOT設備淪為肉雞

據BitDefender報告，最近一款名為「捉迷藏（Hide 『N Seek， HNS）」殭屍網路肆虐全球，短短几天內2萬多部設備遭受感染。

HNS殭屍網路最先是由BitDefender惡意軟體研究員於1月10日發現的，隨後該殭屍網路消失了幾天，但周末卻強勢回歸。

截止發文時間，受感染「肉雞」從最初發現的12個增長到20,000多個。

Bitdefender的分析表明 「Bitdefender研究人員發現了一個新興殭屍網路，它通過先進的通信技術來利用受害者，並建立自己的基礎設施。這個被稱為HNS的殭屍網路因對Telnet服務發起認證字典攻擊， 而被我們的IoT蜜罐系統截獲。」

「從1月10日我們在蜜罐中發現的樣本來看，該殭屍網路和一家韓國公司生產的IP攝像機密切相關。樣本中硬編碼的12個IP地址中，10個屬於Focus H＆S設備，這樣看來這些設備在殭屍網路中發揮著重要作用。不過1月20日觀察到的新版本，丟棄了硬編碼IP地址。」

HNS殭屍網路與Mirai無關

安全專家最近還發現了其他物聯網殭屍網路，其中大多數與Mirai殭屍網路相關，如Satori、Okiru和Masuta，但是HNS殭屍網路並非Mirai的另一變種。

Bitdefender研究人員發現，HNS和Hajime殭屍網路存在相似之處，與Mirai不同，Hajime不使用C＆C伺服器，而是建立了點對點網路。

Hajime比Mirai更複雜，它所實施的機制更多，以此來隱藏其活動和運行進程。其模塊化結構允許運營商快速添加新的功能。

Bitdefender表示：「這是迄今為止，繼臭名昭著的Hajime殭屍網路之後第二個已知物聯網殭屍網路，它具有分散的、點對點（P2P）架構。但是，就 Hajime 而言，P2P 功能建立在 BitTorrent 協議的基礎之上，而HNS則具有自定義構建的 P2P 通信機制。

HNS可通過利用惡意軟體Reaper感染一系列物聯網設備，目前版本能夠接收並執行多種命令，如數據泄露、代碼執行和干擾設備運行。

專家稱，該殭屍網路仍處於開發階段，還不具備發起DDoS攻擊的能力，這意味著它將作為代理網路進行部署。

HNS更複雜，具備更多新功能

物聯網殭屍網路已存在多年，主要用於DDoS攻擊，但是在調查HNS殭屍網路過程中發現，殭屍網路變得更加複雜，出現了很多新的功能，如信息竊取，這可能被用來實施間諜活動或敲詐勒索。

還值得一提的是，殭屍網路正不斷進行重新設計和快速擴張。

隨機傳播的殭屍程序會生成一個或許能成功入侵的IP地址列表。 然後，向每個潛在攻擊目標建立原始套接字SYN連接，並繼續與那些在特定目標埠（232323,80,8080）上響應請求的設備進行通信。

一旦殭屍網路建立了連接，它就會尋找受害者呈現的特定banner(「buildroot login:」)。在獲得該登錄Banner後，它會嘗試使用一系列預默認憑證進行登錄。如果認證失敗，該殭屍網路會使用硬編碼列表發起字典攻擊。

一旦與受害者連接成功，惡意軟體將通過「狀態機」來運行，以確定目標設備的類型，並選擇最合適的攻擊方式。專家解釋說，如果設備與殭屍程序共享同一個網路，殭屍程序將建立TFTP伺服器，允許受害者從殭屍程序上下載惡意代碼。如果受害者聯網，殭屍程序將嘗試使用特定的遠程Payload傳送方法讓目標設備下載並執行該樣本。

分析還顯示，這些利用技術是預先配置的，並存儲在數字簽名的存儲位置，以防止篡改。這個列表可以遠程更新，並在受感染的主機之間傳播。

物聯網發展迅速，安全尤為重要

專家觀察到，HNS殭屍網路無法在受感染設備上建立持久性，一旦設備重啟，惡意軟體將被移除，這意味著殭屍網路運營者必須不斷管理HNS殭屍網路。

與任何新技術一樣，物聯網致力於在未來取得長足發展，讓設備使用起來更加簡便，更好同網路互聯。但與此同時，殭屍網路攻擊盛行，這表明，安全方面也是任重道遠。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！