聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
今年年初出现的HNS(“捉迷藏”)僵尸网络刚开始感染物联网设备,而现在已开始针对跨平台数据库解决方案。
这是僵尸网络的重要发展阶段,它是首个在设备重启后仍然存活下来的物联网僵尸网络。
HNS 攻击更多设备
奇虎360公司 Netlab 研究团队发现,HNS 的感染对象已从路由器和 DVR 扩展至运行服务器操作系统的数据库应用。
研究人员指出,HNS 目前能够通过如下类型的利用感染如下设备类型:
1. TPLink-Routers RCE
2. Netgear RCE
3. (新)AVTECH RCE
4. (新)CISCO Linksys Router RCE
5. (新)JAW/1.0 RCE
6. (新)OrientDB RCE
7. (新)CouchDB RCE
作为增加更多 payload 的副作用,HNS 的噪音更多,因为它需要扫描更多的端口来找到更多主机实施感染。专家表示发现 HNS 僵尸在如下端口启动扫描:
23Telnet
80HTTP Web Service
2480OrientDB
5984CouchDB
8080HTTP Web Service
以及随机端口
不过 HNS 易于发现,因为它是除了 Hajime 之外使用 P2P 结构的第二大物联网僵尸,因此对于研究人员而言并不难以发现。
HNS 测试密币挖矿 payload
HNS 并非首个针对OrientDB 服务器的僵尸网络,该服务器非常受各僵尸网络的欢迎。例如,于去年发现的僵尸网络DDG 在今天仍然呈活跃状态,它过去通过密币挖掘恶意软件攻击 OrientDB 服务器。
实际上,HNS 操纵人员可能从 DDG 组织学到了一些东西,因为研究人员表示,HNS 已开始在某些受感染系统中释放密币挖掘 payload。
幸运的是,目前看似这些部署均已失败,因为其它的密币挖掘 payload 未能开始为 HNS 操纵人员提供资金。但如果能成功运行,则会给攻击者带来一些利益,如 DDG 就在去年通过密币挖掘牟利100多万美元。
https://www.bleepingcomputer.com/news/security/hns-evolves-from-iot-to-cross-platform-botnet/
领取专属 10元无门槛券
私享最新 技术干货