第一个能在设备重启后继续存活的僵尸网络
4月30日,罗马尼亚的安全商Bitdefender的研究人员对外发布了他们所检测到的一种僵尸网络,该僵尸网络是第一个能在设备重启后继续存活的僵尸网络。目前,研究人员已将它命名为“Hide and Seek(HNS)”,这个名字起得也很有意思,翻译成中文就是“躲猫猫”,不过这也符合其行为模式。
简单来说,该僵尸网络有两个世界第一。首先,它是世界上第一个通过点对点(peer-to-peer,简称P2P)架构进行通信的僵尸网络。其次,它也是第一个能在设备重启后继续存活的僵尸网络。
“Hide and Seek”的迭代攻击过程
HNS于2018年1月10日初次现身,在1月20日携大量“肉鸡”强势出现。1月25日,HNS的僵尸网络数量已从最初的12台扩充至1.4万台,到1月底,数量就有大约3.2万台了。截至目前,该恶意软件已感染了9万台设备。
从最初发现到现在,HNS经历了多次更新,这从其性能的不断完善就可以看出,另一方面也证明这个僵尸网络还在研发阶段,还未投入正式使用。
比如,HNS在4月下旬的新样本就增加了传播方面的很多改进功能。开发者在新的二进制文件中,加入了对两个网络摄像头漏洞的利用,这两个漏洞分别是AVTECH网络摄像头A/NVR/DVR PWDGRP.CGI 提权漏洞和Wansview NCS601W网络摄像头的一个漏洞。除此之外,最新的版本还会进行设备密码的暴力破解,被感染的设备将扫描暴露了Telnet端口的其它设备,并尝试使用预设凭证登录设备,要说明的是,该僵尸网络会以出厂时的默认凭证登录作为暴力破解的基础,而不是盲目猜测登录凭证。尽管如此,HNS的开发人员还在对目前的暴力破解方法进行更新。如果暴力破解登录成功,恶意软件会限制对端口23的访问,从而阻止可能的竞争对手来劫持同一个设备。
除了利用这些漏洞之外,HNS还可以识别两种新类型的设备并利用其默认用户名和密码进行登录。
研究人员发现,这种攻击方法针对各种流行的设备和安全架构,研究表明,该僵尸程序有10种不同的二进制文件,包括x86,x64,ARM(Little Endian和Big Endian),SuperH,PPC等。
进行持久攻击的原理
一旦感染成功执行,该恶意软件会将在自己自行复制到受害者的/etc/init.d/文件夹中,然后再将该文件夹添加到自己的恶意操作系统中。为了实现持久攻击,感染必须通过Telnet进行,因为需要root权限才能将二进制文件复制到init.d目录。
随后它会随机打开一个传播到临近僵尸网络上的UDP端口,这个端口将被攻击者用来与后台进行联系,进行各种操作,比如HNS代码库进行更新。
HNS的危害性
庆幸的是最新版本支持的命令列表与早期版本并没有太大的变化,该僵尸网络仍然不支持DDoS攻击,这样其被广泛利用的机会就很少了。
缓解措施
由于还在研发阶段,所以目前该恶意软件还是能够被删除的,具体办法请点此。尽管如此,HNS还是能在被感染的设备上窃取数据并执行代码,这意味着该僵尸网络支持插件或模块系统,并且可以随时利用任何类型的恶意代码进行扩展。所以,我们还是要保持警惕。
研究人员用于这项研究的样本标识为9ef7ed8af988d61b18e1f4d8c530249a1ce76d69和c6d6df5a69639ba67762ca500327a35b0e3950b0。
原文发布时间为:2018-05-18
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
IPv6技术详解:基本概念、应用现状、技术实践(上篇)
本文来自微信技术架构部的原创技术分享。 1、前言 普及IPV6喊了多少年了,连苹果的APP上架App Store也早已强制IPV6的支持,然并卵,因为历史遗留问题,即使在IPV4地址如果饥荒的情况下,所谓的普及还是遥遥无期。但不可否认的是,IPV6肯定是未来趋势,做为网络通信领域的程序员来说,详细学习和了解IPV6是很有必要的,所谓厚积薄发,谁知道哪天IPV6真的普及了呢?那么,我们开始看正文吧。 学习交流: - 即时通讯开发交流3群:185926912[推荐] - 移动端IM开发入门文章:《新手入门一篇就够:从零开发移动端IM》 (本文同步发布于:http://www.52im.net/thread-1605-1-1.html) 2、系列文章 文章太长,分为两篇来讲,本文是2篇文章中的第1篇: 《IPv6技术详解:基本概念、应用现状、技术实践(上篇)》(本文) 《IPv6技术详解:基本概念、应用现状、技术实践(下篇)》 本文是系列文章中的上篇,主要讲解IPV6的基本概念。 3、正文引言 2017年11月26日,中共中央办公厅和国务院办公厅印发了《推荐互联网协议第六版(IPv6)规模部...
- 下一篇
为什么保护容器和微服务很难
容器环境的粒度、部署速度和数据流量规模都要求采用新安全方法。 容器是一种简单方便快速的跨计算环境软件部署及运行方式。通过将应用的整个运行时环境(库、可执行程序和配置文件)容纳进来,平台和基础设施被抽象了出来,让应用或多或少地可以在任何地点运行。所有主流云提供商和现场数据中心以及混合云环境都提供容器,而且,容器还能节省下很多开支。 开发人员可用容器创建微服务,也就是应用的可重用组件。因为可重用,微服务能帮开发人员免掉重新开发的时间。另外,微服务可跨不同平台部署。 因此,容器的采纳率高毫不令人意外。但不幸的是,安全界仍在摸索容器的运行机制和最佳锁定方法。迈克菲最近针对全球1500位IT人员的调查显示,雇员数超500人的公司企业中约有80%正在使用容器,但仅66%拥有容器安全策略。事实上,今年3月CyberEdge对1200名IT决策者的调查表明,容器如今与移动设备一起成为了公司企业最大的安全挑战。 有很多原因促成了安全成为容器世界中的一大挑战。原因之一,容器的部署速度。原因之二,容器通常要求应用被分割成微服务,造成数据流量和访问控制规则复杂度的增加。原因之三,容器通常运行在云环境中,比如A...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- CentOS7,CentOS8安装Elasticsearch6.8.6
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS6,CentOS7官方镜像安装Oracle11G
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- 设置Eclipse缩进为4个空格,增强代码规范
- Mario游戏-低调大师作品
- MySQL8.0.19开启GTID主从同步CentOS8
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果