Rakos希望成為下一個(gè)毀滅性的IoT僵尸網(wǎng)絡(luò)

您可能已經(jīng)聽(tīng)說(shuō)過(guò)甚至受到Mirai的影響，這是物聯(lián)網(wǎng)設(shè)備的僵尸網(wǎng)絡(luò)，它負(fù)責(zé)破紀(jì)錄的DDoS攻擊，該攻擊在10月份破壞了包括Twitter，Spotify和PlayStation Network在內(nèi)的大型服務(wù)。一個(gè)名為Rakos的新惡意軟件可能即將竊取Mirai的王冠，或者至少構(gòu)成另一個(gè)大威脅。

Mirai和Rakos都對(duì)物聯(lián)網(wǎng)有著共同的親和力，并尋找不安全的設(shè)備來(lái)增加他們的集體，以發(fā)動(dòng)毀滅性的DDoS攻擊。區(qū)別在于Mirai主要針對(duì)telnet端口，而Rakos針對(duì)SSH。雖然telnet不使用加密，但SSH確實(shí)如此，而且它通常是更有利的選擇。

該惡意軟件在SSH登錄時(shí)使用強(qiáng)力嘗試，類(lèi)似于為了建立其而運(yùn)行的蠕蟲(chóng)數(shù)量。ESK的安全研究人員發(fā)現(xiàn)了Rakos，他們觀察到自8月以來(lái)多個(gè)物聯(lián)網(wǎng)設(shè)備和Linux服務(wù)器感染了惡意軟件。

“它是從一個(gè)臨時(shí)目錄執(zhí)行并偽裝成Java框架的一部分，即'.javaxxx'。還使用了諸如'.swap'或'kworker'等附加名稱(chēng)，”ESET成員 在welivesecurity博客上寫(xiě)道。

盡管擁有強(qiáng)密碼，但由于啟用了“在線服務(wù)”功能，某些設(shè)備容易受到攻擊，這使得Rakos能夠恢復(fù)設(shè)備的出廠設(shè)置，從而將密碼恢復(fù)為默認(rèn)密碼。

Rakos是用Go語(yǔ)言編寫(xiě)的，其二進(jìn)制文件是使用標(biāo)準(zhǔn)的UPX工具壓縮的。當(dāng)設(shè)備受到攻擊時(shí)，Rakos會(huì)在端口61314上啟動(dòng)本地Web服務(wù)器并下載二進(jìn)制文件。主機(jī)的詳細(xì)信息會(huì)定期發(fā)送到其C&C服務(wù)器，以便添加新功能或執(zhí)行操作。

應(yīng)采取通常的安全建議，以確保您的設(shè)備不是下一次僵尸網(wǎng)絡(luò)攻擊的一部分。更改默認(rèn)密碼，并確保在不需要時(shí)關(guān)閉任何遠(yuǎn)程服務(wù)訪問(wèn)(并且可能)。