您的位置: 首頁 >商業(yè) >

來看看dark_nexus它很可能是有史以來最強大的物聯(lián)網(wǎng)僵尸網(wǎng)絡

2020-04-10 10:49:35 編輯: 來源:
導讀 研究人員于本周三稱,一個新發(fā)現(xiàn)的僵尸網(wǎng)絡以家庭路由器、錄像機和其他聯(lián)網(wǎng)設備為攻擊目標,它是迄今為止發(fā)現(xiàn)的最先進的物聯(lián)網(wǎng)平臺之一。它的高級功能列表包括將惡意流量偽裝成良性流量、保持持久性和感染至少在12個不同cpu上運行的設備。 殺毒軟件提供商Bitdefender的研究人員將這種所謂的dark_nexus描述為“一種新的物聯(lián)網(wǎng)僵尸網(wǎng)絡,它包含了我們所見過的大多數(shù)物聯(lián)網(wǎng)僵尸網(wǎng)絡和惡意軟件所不具備的新

研究人員于本周三稱,一個新發(fā)現(xiàn)的僵尸網(wǎng)絡以家庭路由器、錄像機和其他聯(lián)網(wǎng)設備為攻擊目標,它是迄今為止發(fā)現(xiàn)的最先進的物聯(lián)網(wǎng)平臺之一。它的高級功能列表包括將惡意流量偽裝成良性流量、保持持久性和感染至少在12個不同cpu上運行的設備。

殺毒軟件提供商Bitdefender的研究人員將這種所謂的dark_nexus描述為“一種新的物聯(lián)網(wǎng)僵尸網(wǎng)絡,它包含了我們所見過的大多數(shù)物聯(lián)網(wǎng)僵尸網(wǎng)絡和惡意軟件所不具備的新特性和新功能。”在Bitdefender追蹤它的三個月里,dark_nexus經(jīng)歷了30個版本的更新,因為它的開發(fā)者已經(jīng)穩(wěn)定地添加了更多的特性和功能。

該惡意軟件已經(jīng)感染了至少1372臺設備,其中包括錄像機、熱成像相機,以及Dasan、Zhone、Dlink和ASUS生產(chǎn)的家庭和小型辦公路由器。研究人員預計,隨著dark_nexus的開發(fā)繼續(xù),將會有更多的設備模型受到影響。

在提到其他物聯(lián)網(wǎng)僵尸網(wǎng)絡時,研究人員在一份報告中寫道:“我們的分析表明,盡管dark_nexus重復使用了一些Qbot和Mirai代碼,但它的核心模塊大多是原創(chuàng)的。雖然它可能會與之前已知的物聯(lián)網(wǎng)僵尸網(wǎng)絡共享一些功能,但它的一些模塊的開發(fā)方式使其功能更加強大?!?/p>

僵尸網(wǎng)絡通過猜測常見的管理員密碼和利用安全漏洞來傳播。增加受感染設備數(shù)量的另一個特性是,它能夠針對運行在各種cpu上的系統(tǒng),包括:

Bitdefender的報告說,雖然dark_nexus傳播模塊包含針對ARC和摩托羅拉RCE架構的代碼,但是研究人員迄今為止還沒有找到為這些架構編譯的惡意軟件樣本。

dark_nexus的主要目的是執(zhí)行分布式拒絕服務攻擊,這種攻擊通過向網(wǎng)站和其他在線服務注入超過它們所能處理的垃圾流量,使它們下線。為了使這些攻擊更有效,惡意軟件有一種機制,使惡意流量看起來像是Web瀏覽器發(fā)送的良性數(shù)據(jù)。

dark_nexus的另一項高級功能使惡意軟件在可能安裝在受感染設備上的任何其他惡意軟件中占據(jù)“優(yōu)勢”。至上機制使用一個評分系統(tǒng)來評估設備上運行的各種進程的可信度。已知為良性的進程將被自動白名單。

未被識別的過程會獲得某些類型特征的分數(shù)。例如,一個進程在運行時被刪除——這是惡意代碼的常見行為——會得到90分。目錄中的可執(zhí)行文件,如“/tmp/”、“/var/”或“/dev/”——另一個惡意軟件的標志——得到90分。其他特性得到10到90分。任何收到100點或更多的進程都會被自動殺死。

Dark_nexus還可以終止重啟過程,這一功能可以讓惡意軟件在設備上運行更長時間,因為大多數(shù)物聯(lián)網(wǎng)惡意軟件無法在重啟后繼續(xù)運行。為了讓感染變得更加隱蔽,開發(fā)者使用已經(jīng)受損的設備來發(fā)布攻擊和有效載荷。

早期版本的dark_nexus包含字符串“@greek”。赫利俄斯"當他們印刷橫幅的時候。該字符串也出現(xiàn)在2018年發(fā)布的“hoho”中,這是Marai惡意軟件的變種。hoho和dark_nexus都包含了Mirai和Qbot代碼。Bitdefender的研究人員很快發(fā)現(xiàn)“希臘太陽神”是一個銷售物聯(lián)網(wǎng)僵尸網(wǎng)絡惡意軟件和DDoS服務的在線角色的名字。這個Youtube頻道由一個名叫希臘太陽神的用戶主持,播放了幾個宣傳惡意軟件和服務的視頻。

周三的報道稱,其中一段視頻顯示,早在去年12月,Bitdefender的honeypot日志中就顯示了一個帶有IP地址快捷方式的電腦桌面,作為dark_nexus命令與控制服務器。這些和其他一些線索使研究人員懷疑這個人是暗黑關系的幕后黑手。

如上圖所示,dark_nexus感染在中國最為常見,共有653個節(jié)點被檢測到感染。緊隨其后的四個受影響最嚴重的國家是大韓民國(261個)、泰國(172個)、巴西(151個)和俄羅斯(148個)。美國共發(fā)現(xiàn)68例感染病例。

僵尸網(wǎng)絡有能力感染多種設備,而且開發(fā)人員有雄心勃勃的更新計劃,所以在未來幾個月看到僵尸網(wǎng)絡的增長也就不足為奇了。


免責聲明:本文由用戶上傳,如有侵權請聯(lián)系刪除!

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權歸原作者所有。