“DoubleDoor”僵尸網絡首次同時鏈接兩個漏洞繞過防火墻攻擊
責編:mhshi |2018-02-14 10:01:00據外媒報道,黑客正在構建一個獨特的僵尸網絡,第一次將兩個攻擊捆綁在一起,試圖繞過企業防火墻并感染設備。據NewSky Security(青天科技)的研究人員發現,該僵尸網絡被“巧妙地”命名為DoubleDoor。Ankit Anubhav是News Security首席研究員,他表示,DoubleDoor惡意軟件試圖利用兩個后面進行攻擊,如下圖所示:
他透露,DoubleDoor攻擊者會利用第一個漏洞繞過Juniper Netscreen防火墻,然后再使用第二個漏洞掃描內部網絡找到ZyXEL路由。
物聯網僵尸網絡第一次鏈接兩個漏洞
在接受外媒采訪時,Anubhav表示,這是物聯網僵尸網絡第一次將兩個漏洞鏈接在一起,然后利用這種方式感染設備。他說道:
“這是我們第一次看到物聯網僵尸網絡進行兩層攻擊,而且他們甚至早就已經準備好了穿越防火墻。事實上,這種多層次的攻擊通常只會發生在Windows操作系統上。”
他繼續補充表示:
“Satori/Reaper已經開始使用該漏洞進行攻擊了,但問題是,這些漏洞似乎可以針對不同類型的設備進行攻擊。如果攻擊者發現了一個DLink設備,那么它會使用這個漏洞;而如果他們發現了一個華為設備,也會利用這一漏洞。”
Anubhav認為,過去絕大多數物聯網惡意軟件之所以能夠得逞,主要原因還是因為設備的開發邏輯過于簡單。
DoubleDoor僵尸網絡似乎尚未構成嚴重威脅
在1月18-27日期間,根據分析該僵尸網絡的攻擊,研究人員發現黑客的IP地址均來自韓國。
但是,Anubhav表示,目前僵尸網絡尚未構成嚴重威脅,DoubleDoor目前仍然處于發展階段,所以他們還是在繼續“工作”。他說道:
“相比于Mirai、Satori、Asuna或Daddy33t這些惡意軟件,DoubleDoor的攻擊數量還比較少。”
根據NewSky的安全專家表示,目前攻擊數量規模較小的主要原因,可能是因為他們只針對了很小一部分設備,比如面向互聯網開放的yXEL PK5001Z路由器、以及受企業級Juniper Netscreen防火墻保護的ZyXEL PK5001Z路由器。
Anubhav繼續補充說道:
“這些路由器通常都部署在企業里。”
因此他發出警告,提醒人們注意DoubleDoor開發者試圖感染的對象可能是企業。
DoubleDoor暫時不會做任何事情
現在唯一的好消息,似乎就有DoubleDoor在入侵ZyXEL設備之后,沒有做任何特別的事情,只是將其添加到了僵尸網絡之中。
Anubhav表示:
“這次可能是一次試運行,或者他們只是在默默等待發起更大規模的攻擊。”
正如Anubhav所指出的那樣,目前DoubleDoor似乎仍然處于開發階段,所以我們可能很快就會開發黑客針對其他不同類型的設備(比如DLink、華為和Netgear等)漏洞進行擴展。
不僅如此,該僵尸網絡可能還會嘗試DDos攻擊,將惡意軟件傳播到內部Windows網絡,繼而引發更大的侵擾。
但是,即便DoubleDoor不做任何其他行為、并就此消失,這種雙重利用防火墻漏洞的黑客技術已經引起了其他物聯網僵尸網絡黑客的關注,也許我們很快就會看到其他惡意軟件“變種”。