2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
研究人員于本周三稱,一個新發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)以家庭路由器、錄像機和其他聯(lián)網(wǎng)設(shè)備為攻擊目標,它是迄今為止發(fā)現(xiàn)的最先進的物聯(lián)網(wǎng)平臺之一。它的高級功能列表包括將惡意流量偽裝成良性流量、保持持久性和感染至少在12個不同cpu上運行的設(shè)備。
殺毒軟件提供商Bitdefender的研究人員將這種所謂的dark_nexus描述為“一種新的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò),它包含了我們所見過的大多數(shù)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)和惡意軟件所不具備的新特性和新功能?!痹贐itdefender追蹤它的三個月里,dark_nexus經(jīng)歷了30個版本的更新,因為它的開發(fā)者已經(jīng)穩(wěn)定地添加了更多的特性和功能。
該惡意軟件已經(jīng)感染了至少1372臺設(shè)備,其中包括錄像機、熱成像相機,以及Dasan、Zhone、Dlink和ASUS生產(chǎn)的家庭和小型辦公路由器。研究人員預(yù)計,隨著dark_nexus的開發(fā)繼續(xù),將會有更多的設(shè)備模型受到影響。
在提到其他物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)時,研究人員在一份報告中寫道:“我們的分析表明,盡管dark_nexus重復(fù)使用了一些Qbot和Mirai代碼,但它的核心模塊大多是原創(chuàng)的。雖然它可能會與之前已知的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)共享一些功能,但它的一些模塊的開發(fā)方式使其功能更加強大?!?/p>
僵尸網(wǎng)絡(luò)通過猜測常見的管理員密碼和利用安全漏洞來傳播。增加受感染設(shè)備數(shù)量的另一個特性是,它能夠針對運行在各種cpu上的系統(tǒng),包括:
Bitdefender的報告說,雖然dark_nexus傳播模塊包含針對ARC和摩托羅拉RCE架構(gòu)的代碼,但是研究人員迄今為止還沒有找到為這些架構(gòu)編譯的惡意軟件樣本。
dark_nexus的主要目的是執(zhí)行分布式拒絕服務(wù)攻擊,這種攻擊通過向網(wǎng)站和其他在線服務(wù)注入超過它們所能處理的垃圾流量,使它們下線。為了使這些攻擊更有效,惡意軟件有一種機制,使惡意流量看起來像是Web瀏覽器發(fā)送的良性數(shù)據(jù)。
dark_nexus的另一項高級功能使惡意軟件在可能安裝在受感染設(shè)備上的任何其他惡意軟件中占據(jù)“優(yōu)勢”。至上機制使用一個評分系統(tǒng)來評估設(shè)備上運行的各種進程的可信度。已知為良性的進程將被自動白名單。
未被識別的過程會獲得某些類型特征的分數(shù)。例如,一個進程在運行時被刪除——這是惡意代碼的常見行為——會得到90分。目錄中的可執(zhí)行文件,如“/tmp/”、“/var/”或“/dev/”——另一個惡意軟件的標志——得到90分。其他特性得到10到90分。任何收到100點或更多的進程都會被自動殺死。
Dark_nexus還可以終止重啟過程,這一功能可以讓惡意軟件在設(shè)備上運行更長時間,因為大多數(shù)物聯(lián)網(wǎng)惡意軟件無法在重啟后繼續(xù)運行。為了讓感染變得更加隱蔽,開發(fā)者使用已經(jīng)受損的設(shè)備來發(fā)布攻擊和有效載荷。
早期版本的dark_nexus包含字符串“@greek”。赫利俄斯"當他們印刷橫幅的時候。該字符串也出現(xiàn)在2018年發(fā)布的“hoho”中,這是Marai惡意軟件的變種。hoho和dark_nexus都包含了Mirai和Qbot代碼。Bitdefender的研究人員很快發(fā)現(xiàn)“希臘太陽神”是一個銷售物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)惡意軟件和DDoS服務(wù)的在線角色的名字。這個Youtube頻道由一個名叫希臘太陽神的用戶主持,播放了幾個宣傳惡意軟件和服務(wù)的視頻。
周三的報道稱,其中一段視頻顯示,早在去年12月,Bitdefender的honeypot日志中就顯示了一個帶有IP地址快捷方式的電腦桌面,作為dark_nexus命令與控制服務(wù)器。這些和其他一些線索使研究人員懷疑這個人是暗黑關(guān)系的幕后黑手。
如上圖所示,dark_nexus感染在中國最為常見,共有653個節(jié)點被檢測到感染。緊隨其后的四個受影響最嚴重的國家是大韓民國(261個)、泰國(172個)、巴西(151個)和俄羅斯(148個)。美國共發(fā)現(xiàn)68例感染病例。
僵尸網(wǎng)絡(luò)有能力感染多種設(shè)備,而且開發(fā)人員有雄心勃勃的更新計劃,所以在未來幾個月看到僵尸網(wǎng)絡(luò)的增長也就不足為奇了。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。