导读 | 近日,网络安全公司 Bitdefender 表示发现了让其它僵尸网络如 Mirai 和 Qbot “相形见绌”的新型僵尸网络 “dark_nexus”。它具有的特征和能力是当前僵尸网络无法比拟的。 |
僵尸网络是由已受陷且被奴役至主控制器的机器、物联网产品和移动设备组成的网络。这些设备可被用于执行 DDoS 攻击、发动大规模的垃圾邮件活动等。
Dark_nexus 的命名源自其横幅上打印的字符串,它虽然同时具有Mirai 和 Qbot 的冷链接,但研究团队表示其主要功能是原创的。
研究人员指出,“虽然它和此前已知的物联网僵尸网络存在相似之处,但其某些模块助其更强大更健壮。”
Dark_nexus 已出现三个月,在此期间已发布三个版本。蜜罐显示至少有1372个僵尸连接到该僵尸网络,主要的僵尸位于中国、韩国、泰国和巴西。为了攻陷发现的机器,Dark_nexus 将使用凭证填充和 exploit。它使用了同步和异步两种模块,不过它们都尝试使用 Telnet 协议以及预定义的凭证列表获取访问权限。研究人员指出,“和其它广为传播的僵尸网络使用的扫描器非常相似,该扫描器被当作建模 Telnet 协议和随后感染步骤的有限状态机实现,在感染过程中,攻击者基于此前的命令输出发出适应性命令。”
在启动阶段,僵尸网络使用了和 Qbot 一样的进程,实现了多个fork,阻碍了某些信号,之后该僵尸网络和终端分离。和 Mirai 一样,该僵尸网络之后将自身绑定到端口7630。另外,它还试图通过将自身命名为 /bin/busybox 的方式隐藏活动。
Dark_nexus 具有针对12种 CPU 架构的定制化payload,根据受害者的配置和设置交付。它使用一种非常独特的方式维持在机器上的立足点,它会对现有进程进行“风险评估”。它的代码中包含一个白名单进程列表,再加上进程标识符,一起判断进程是否可行。凡是越过“怀疑阈值”的进程都会被杀死。
Dark_nexus 和两个 C2 服务器以及负责接收易受攻击服务(包括 IP 和端口号)的报告服务器连接。服务器地址要么被硬编码到轻量级下载器中,要么被当作反向代理功能——在某些情况下它用于将每个受害者转变为托管服务器的代理,之后为随机端口上的样本提供服务。
Dark_nexus 发动的攻击很常见,但有一点例外:browser_http_req 命令。研究人员表示该元素“极其复杂且可配置”,“它试图将流量伪装成由浏览器生成的无害流量”。
它的另外一个独特功能在于,试图阻止设备重启。服务遭攻陷并被停止后,而可执行文件中可重启设备的权限也被删除。该僵尸网络的开发人员被认为是 geek.Helios。他是一个为人熟知的僵尸网络作者,多年来一直在地下论坛兜售 DDoS 服务。
研究人员还在 Dark_nexus 的某些版本中找到了多个 socks5 代理。该功能也存在于多个僵尸网络中如 Mirai 变体、TheMoon和 Gwmndy,研究人员还在继续观察它的进展状况。
研究人员认为,“一个可能的动机是在地下论坛出售这些代理的访问权限,不过我们尚未找到这么做的证据。”
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/131725.html