新一代“智能”僵尸網絡已經入侵上千臺華碩、D-Link路由器
責編:gltian |2020-04-13 13:39:27
安全研究人員透露,在過去的三個月中,一個新的僵尸網絡已經破壞了上千臺ASUS、D-Link和Dasan Zhone路由器,以及諸如錄像機和熱像儀之類的物聯網(IoT)設備。
該僵尸網絡稱為Dark_nexus,其技術和戰術類似于以前的危險IoT威脅,例如Qbot銀行惡意軟件和Mirai僵尸網絡。但是,Dark_nexus還配備了一個創新模塊,用于實現持久性和檢測逃避,研究人員說“該技術使其他[僵尸網絡]感到羞恥”。
Bitdefender的研究人員在周三的分析中說:
雖然[Dark_nexus]可能與以前已知的IoT僵尸網絡共享某些功能,但是其某些創新模塊使其具有更強大的功能。例如,有效載荷針對12種不同的CPU架構進行了編譯,并根據受害人的配置動態傳送。
Dark_nexus還借用了Qbot和臭名昭著的Mirai僵尸網絡以前使用的代碼和進程,后者2016年發起了“搞癱半個美國”的Dyn DDos攻擊。例如,Dark_nexus的啟動代碼行為與Qbot相似,會阻止多個信號并將其與終端分離。并且,與Mirai相似,Dark_nexus綁定到固定端口(7630),從而確保該機器人的單個實例可以在該設備上運行。
與其他僵尸網絡(TheMoon、Gwmndy和Omg僵尸網絡)的另一個相似之處是,研究人員在Dark_nexus的某些版本中發現了socks5代理,它們有可能用于租用足跡。
除了借鑒其他僵尸網絡的功能外,Dark_nexus還有自己的“獨門絕技”——逃避檢測和持久化策略。在發動DDoS攻擊時,Dark_nexus會將流量隱藏為無害的瀏覽器生成的流量來繞過檢測。此外,一旦感染了設備,Dark_nexus還試圖通過偽裝成BusyBox(以/bin/busybox命名)來偽裝自己,這是一種流行的軟件套件,在單個可執行文件中提供多個Unix實用程序。
Dark_nexus能識別并殺死任何威脅其“持久性”和“統治力”的進程,包括停止cron服務并刪除任何可用于重新啟動設備的可執行文件的權限。Dark_nexus還使用一種獨特的技術來確保其在受感染設備中的“至高權力”,使用基于權重和閾值的評分系統來評估哪些進程可能構成風險,并殺死所有超過可疑閾值的其他進程。
自從12月首次發現該僵尸網絡以來,研究人員(基于蜜罐證據)估計該僵尸網絡已經危害了全球至少1,372臺設備。這些設備主要位于韓國以及中國、泰國和巴西。相比之下,Mirai在2016年11月達到頂峰時已感染了超過600,000臺IoT設備。
參考資料
Dark_nexus僵尸網絡分析報告:
https://www.bitdefender.com/files/News/CaseStudies/study/319/Bitdefender-PR-Whitepaper-DarkNexus-creat4349-en-EN-interactive.pdf