Bitdefender 高级电子威胁分析师 Bogdan Botezatu 认为,与目前大多数针对 IOT 设备的僵尸网络不同,HNS并非 Mirai 的变种,反而与专门攻击中国物联网设备的 Hajime 更加类似。
Hajime 又是何方神圣?说起来它也是很有个性的一款僵尸蠕虫了。
据此前诸多媒体的报道,它并不会执行恶意操作,也不包含任何分布式拒绝攻击(DDoS)功能与代码,反而每隔10分钟向被感染的设备推送一个消息:
我们是保护系统的白帽子。我们将通过此方法展示重要信息。
Hajime还做了一系列改善安全性的动作,比如阻挡Mirai赖以攻击的端口(23、7547、5555和5358的访问),关闭这些端口,将有效组织设备被Mirai感染。
但是,有人觉得 Hajime 这种强行提供保护的方式并不合法,难保有一天 Hajime 的作者反戈。
根据 Hajime 的代码,制造者可以随时在网络中的人易受感染设备中打开 Shell 脚本。由于使用了模块化代码,设计者可以随时添加新的功能。一旦制作者改变主意打算搞点事情,便可以立即将受感染的设备转变成一个巨大的恶意僵尸网络。
Botezatu 指出,HNS是继 Hajime 僵尸网络之后第二款具有点对点(P2P)架构的已知IoT僵尸网络。但就 Hajime 而言,P2P 功能建立在 BitTorrent 协议的基础之上,而HNS则具有自定义构建的 P2P 通信机制。
根据Botezatu在撰写的分析,每个僵尸程序都包含一个其他被感染机器人的IP列表,这个列表可以随着僵尸网络的增长和僵尸程序的丢失或获得而实时更新。
HNS 将中继指令和命令互相转发,类似于P2P协议的基础。 Botezatu 说 HNS 机器人可以接收和执行几种类型的命令,比如“数据泄露,代码执行和对设备操作的干扰”。
与 Hajime 一样,研究人员并未在 HNS 中发现 DDoS 攻击功能,也就是说 HNS 旨在作为代理网络进行部署,这与2017年大多数IoT僵尸网络被武器化的方式类似。此前,DDoS攻击引来太多关注,从而使得很多僵尸网络消失。
高度自定义化
HNS僵尸网络对具有开放 Telnet 端口的设备发起字典暴力破解攻击,这种传播机制与其独特的 P2P 僵尸管理协议一样,具有高度自定义化的特征。
Botezatu 解释,该僵尸程序具有类似蠕虫的传播机制,会随机生成IP地址列表,向其发送SYN报文探测端口(232323,80,8080)开放情况。一旦建立连接,该僵尸程序就会寻找 Banner(“buildroot login:”)。在获得该登录 Banner 后,它会尝试使用一系列预定义凭证进行登录。若获取失败,该僵尸网络会尝试使用硬编码列表发起字典攻击。
一旦与新的受害者建立会话,这个样本将会通过“状态机”运行,以此正确识别目标设备并选择最适合的攻击方式。例如,如果受害者与该僵尸程序位于同一局域网,该僵尸程序便会设置 TFTP 服务器,允许受害者下载这个样本。如果受害者在使用互联网,这个僵尸程序将会尝试通过特定的远程 Payload 传送方式让受害者下载并运行该恶意软件样本。这个列表可远程更新,并在遭遇感觉的主机中进行传播。
但值得庆幸的是,HNS 与所有 IoT 恶意软件一样,无法在被感染设备上建立持久性,也就是说设备重启时,这款恶意软件会被自动删除。这也使得相关人员要24小时全天候管理该僵尸网络,因为其创建者会持续监控该僵尸网络,以确保继续抓新的“肉鸡”。
HNS仍处在开发当中,杀伤力不容忽视
由于物联网是恶意软件领域的新宠,HNS也在不断变化,创建者正在探索新的传播和漫游管理技术。
由于这些“新”僵尸网络中的许多在几个星期后就有消失的趋势,所以希望HNS的作者感到无聊,放弃他的“实验”。
专家表示,由1.4万个“肉鸡”组成的僵尸网络不容忽视,因为一般能够有一定“杀伤力”的僵尸网络,根本不需要几万个肉鸡,四五千就足矣。
安全建议
Imperva 的安全研究员Nadav Avital认为:
“这个物联网僵尸网络的发现与最近Imperva对2017年漏洞研究的发现相呼应。随着物联网设备在我们现代生活中越来越受欢迎,它们也变得对网络犯罪分子更具吸引力。 实际上,在2017年,我们记录的物联网漏洞数量创下记录,从2016年以来,这些漏洞数量翻了一番。
他还强调需要一个帐户接管解决方案,保护所有设备的网络存在。 帐户接管是一个大问题,但这不是物联网供应商提供保护的问题。 因此,组织部署安全的外部解决方案是一个好主意。