來看看dark_nexus它很可能是有史以來最強(qiáng)大的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)

2020-04-10 10:49:35 編輯：來源：

導(dǎo)讀研究人員于本周三稱，一個(gè)新發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)以家庭路由器、錄像機(jī)和其他聯(lián)網(wǎng)設(shè)備為攻擊目標(biāo)，它是迄今為止發(fā)現(xiàn)的最先進(jìn)的物聯(lián)網(wǎng)平臺(tái)之一。它的高級功能列表包括將惡意流量偽裝成良性流量、保持持久性和感染至少在12個(gè)不同cpu上運(yùn)行的設(shè)備。殺毒軟件提供商Bitdefender的研究人員將這種所謂的dark_nexus描述為“一種新的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，它包含了我們所見過的大多數(shù)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)和惡意軟件所不具備的新

研究人員于本周三稱，一個(gè)新發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)以家庭路由器、錄像機(jī)和其他聯(lián)網(wǎng)設(shè)備為攻擊目標(biāo)，它是迄今為止發(fā)現(xiàn)的最先進(jìn)的物聯(lián)網(wǎng)平臺(tái)之一。它的高級功能列表包括將惡意流量偽裝成良性流量、保持持久性和感染至少在12個(gè)不同cpu上運(yùn)行的設(shè)備。

殺毒軟件提供商Bitdefender的研究人員將這種所謂的dark_nexus描述為“一種新的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，它包含了我們所見過的大多數(shù)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)和惡意軟件所不具備的新特性和新功能?！痹贐itdefender追蹤它的三個(gè)月里，dark_nexus經(jīng)歷了30個(gè)版本的更新，因?yàn)樗拈_發(fā)者已經(jīng)穩(wěn)定地添加了更多的特性和功能。

該惡意軟件已經(jīng)感染了至少1372臺(tái)設(shè)備，其中包括錄像機(jī)、熱成像相機(jī)，以及Dasan、Zhone、Dlink和ASUS生產(chǎn)的家庭和小型辦公路由器。研究人員預(yù)計(jì)，隨著dark_nexus的開發(fā)繼續(xù)，將會(huì)有更多的設(shè)備模型受到影響。

在提到其他物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)時(shí)，研究人員在一份報(bào)告中寫道:“我們的分析表明，盡管dark_nexus重復(fù)使用了一些Qbot和Mirai代碼，但它的核心模塊大多是原創(chuàng)的。雖然它可能會(huì)與之前已知的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)共享一些功能，但它的一些模塊的開發(fā)方式使其功能更加強(qiáng)大?！?/p>

僵尸網(wǎng)絡(luò)通過猜測常見的管理員密碼和利用安全漏洞來傳播。增加受感染設(shè)備數(shù)量的另一個(gè)特性是，它能夠針對運(yùn)行在各種cpu上的系統(tǒng)，包括:

Bitdefender的報(bào)告說，雖然dark_nexus傳播模塊包含針對ARC和摩托羅拉RCE架構(gòu)的代碼，但是研究人員迄今為止還沒有找到為這些架構(gòu)編譯的惡意軟件樣本。

dark_nexus的主要目的是執(zhí)行分布式拒絕服務(wù)攻擊，這種攻擊通過向網(wǎng)站和其他在線服務(wù)注入超過它們所能處理的垃圾流量，使它們下線。為了使這些攻擊更有效，惡意軟件有一種機(jī)制，使惡意流量看起來像是Web瀏覽器發(fā)送的良性數(shù)據(jù)。

dark_nexus的另一項(xiàng)高級功能使惡意軟件在可能安裝在受感染設(shè)備上的任何其他惡意軟件中占據(jù)“優(yōu)勢”。至上機(jī)制使用一個(gè)評分系統(tǒng)來評估設(shè)備上運(yùn)行的各種進(jìn)程的可信度。已知為良性的進(jìn)程將被自動(dòng)白名單。

未被識(shí)別的過程會(huì)獲得某些類型特征的分?jǐn)?shù)。例如，一個(gè)進(jìn)程在運(yùn)行時(shí)被刪除——這是惡意代碼的常見行為——會(huì)得到90分。目錄中的可執(zhí)行文件，如“/tmp/”、“/var/”或“/dev/”——另一個(gè)惡意軟件的標(biāo)志——得到90分。其他特性得到10到90分。任何收到100點(diǎn)或更多的進(jìn)程都會(huì)被自動(dòng)殺死。

Dark_nexus還可以終止重啟過程，這一功能可以讓惡意軟件在設(shè)備上運(yùn)行更長時(shí)間，因?yàn)榇蠖鄶?shù)物聯(lián)網(wǎng)惡意軟件無法在重啟后繼續(xù)運(yùn)行。為了讓感染變得更加隱蔽，開發(fā)者使用已經(jīng)受損的設(shè)備來發(fā)布攻擊和有效載荷。

早期版本的dark_nexus包含字符串“@greek”。赫利俄斯"當(dāng)他們印刷橫幅的時(shí)候。該字符串也出現(xiàn)在2018年發(fā)布的“hoho”中，這是Marai惡意軟件的變種。hoho和dark_nexus都包含了Mirai和Qbot代碼。Bitdefender的研究人員很快發(fā)現(xiàn)“希臘太陽神”是一個(gè)銷售物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)惡意軟件和DDoS服務(wù)的在線角色的名字。這個(gè)Youtube頻道由一個(gè)名叫希臘太陽神的用戶主持，播放了幾個(gè)宣傳惡意軟件和服務(wù)的視頻。

周三的報(bào)道稱，其中一段視頻顯示，早在去年12月，Bitdefender的honeypot日志中就顯示了一個(gè)帶有IP地址快捷方式的電腦桌面，作為dark_nexus命令與控制服務(wù)器。這些和其他一些線索使研究人員懷疑這個(gè)人是暗黑關(guān)系的幕后黑手。

如上圖所示，dark_nexus感染在中國最為常見，共有653個(gè)節(jié)點(diǎn)被檢測到感染。緊隨其后的四個(gè)受影響最嚴(yán)重的國家是大韓民國(261個(gè))、泰國(172個(gè))、巴西(151個(gè))和俄羅斯(148個(gè))。美國共發(fā)現(xiàn)68例感染病例。

僵尸網(wǎng)絡(luò)有能力感染多種設(shè)備，而且開發(fā)人員有雄心勃勃的更新計(jì)劃，所以在未來幾個(gè)月看到僵尸網(wǎng)絡(luò)的增長也就不足為奇了。

標(biāo)簽：物聯(lián)網(wǎng)