4月下旬,Bitdefender LABS的信息安全研究人员
发现了一个新版本的``捉迷藏''僵尸网络(HNS),该僵尸网络于2018年初
广为人知 。 它使用自定义的P2P协议,并且是即使重新启动固定了该设备的设备后第一个“生存”的僵尸网络。
我们将告诉您HNS如何做到这一点以及如何保护物联网设备。
/ Flickr / 克里斯·邱 / 抄送自1月10日以来,僵尸网络一直在与安全专家“捉迷藏”:那时,“捉迷藏”网络仅由12个设备组成。 其中大多数是由韩国公司Focus H&S制造的IP摄像机,其IP地址已明确地写在代码中。
僵尸网络“隐藏”之后,直到1月20日才发现自己,但它已经包含14000台受感染的设备。 之后,僵尸网络继续积极分发并
设法感染了约9万个独特设备。 因此,在4月,他的新版本出现了。
僵尸网络如何工作?
僵尸网络的新版本在分发机制方面进行了许多改进。 例如,他学会了利用IP摄像机的另外两个漏洞(
此处和
此处有更多详细信息),从而可以增加系统中的访问权限并获得对设备的控制权。 此外,HNS可以检测两种新型设备,并通过暴力登录和密码(使用默认设置的密码列表)来访问它们。
HNS传播机制
类似于网络蠕虫如何“相乘”。 首先,漫游器会生成一个随机IP地址列表以选择受害者。 然后,它向每个主机发送一个SYN请求,并继续与那些在端口23 2323、80和8080上应答请求的主机进行“通信”。建立连接后,恶意软件会搜索“ buildroot登录”消息,并尝试使用预定义的凭据进行登录。 如果发生故障,HNS会将
字典匹配应用于硬编码列表。
连接后,僵尸网络将确定目标设备并选择适当的折衷方法。 例如,如果僵尸程序与受害者位于同一局域网中,它将配置TFTP服务器,从而使目标服务器直接下载恶意软件样本。 如果受害者“位于” Internet上,则僵尸网络将尝试各种方法远程分发“恶意程序包”。 所有漏洞利用程序均已预先配置并存储在经过数字签名的内存位置,以防止未经授权的访问。 方法列表可以远程更新并在受感染的主机之间分布。
信息安全研究人员
发现 ,僵尸网络具有针对不同平台编译的十个二进制文件:x86,x64,ARM(小端和大端),SuperH,PPC等。
并且为了可靠地在系统中立足,在成功感染目标设备之后,该僵尸程序会将其自身复制到/etc/init.d/并激活OS系统启动时的自动加载功能(由于root需要将二进制文件复制到init.d目录中,因此需要通过Telnet与受害者进行交互)。 -对)。 然后,HNS打开一个随机的UDP端口,网络罪犯将需要使用该端口来联系设备。
/ Flickr / 帕斯卡 / PD其他大型僵尸网络
最著名的物联网机器人之一可以称为
Mirai 。 像HNS一样,该僵尸网络也在寻找具有开放Telnet端口的IoT设备。 Mirai的作者,Minecraft和动漫的爱好者(Mirai用日语
表示 “未来”,以纪念“未来日记”
漫画 ),在2016年对网站,提供商服务器(
9月和
10月 )进行了几次强大的DDoS攻击,并
感染了30万个IoT设备(您可以在此处找到Mirai源代码的详细分析)。
另一个著名的案例是Hajime(从日语翻译为“开始”)。 该僵尸网络使用蛮力攻击捕获了30万个IoT设备。 Hajime攻击主要针对数字录像机,网络摄像头和路由器。 根据卡巴斯基实验室的
研究 ,僵尸网络主要感染了越南(20%),台湾(13%)和巴西(9%)的设备。 同时,Hajime有意识地避开了专用网络(包括美国国防部,惠普,通用电气等公司的专用网络)。
如何保护自己
据Bitdefender的代表说,HNS僵尸网络仍处于“成长阶段”。 它的运营商正在尝试捕获尽可能多的设备。 因此,尚未进行有他参与的攻击。 但是,黑客很快就会将“战斗队”添加到二进制文件中。
为了总体上保护IoT设备免受HNS攻击和僵尸网络的攻击,趋势科技的安全专家
建议遵循以下这些简单而相当普遍的步骤:
- 将IoT设备的默认密码更改为更复杂的密码(一切照常:至少15个字符,不同的字母大小写以及数字和符号);
- 定期安装更新,尤其是与安全性相关的更新;
- 使用软件解决方案来保护网络,流量加密等。
这些简单的方法将使您免受许多恶意程序的侵害,这些恶意程序将物联网设备“吸引”到了他们的行列中。
我们公司博客中的一些材料: