安全研究人员透露,在过去的三个月中,一个新的僵尸网络已经破坏了上千台ASUS、D-Link和Dasan Zhone路由器,以及诸如录像机和热像仪之类的物联网(IoT)设备。
该僵尸网络称为Dark_nexus,其技术和战术类似于以前的危险IoT威胁,例如Qbot银行恶意软件和Mirai僵尸网络。但是,Dark_nexus还配备了一个创新模块,用于实现持久性和检测逃避,研究人员说“该技术使其他[僵尸网络]感到羞耻”。
Bitdefender的研究人员在周三的分析中说:
虽然[Dark_nexus]可能与以前已知的IoT僵尸网络共享某些功能,但是其某些创新模块使其具有更强大的功能。例如,有效载荷针对12种不同的CPU架构进行了编译,并根据受害人的配置动态传送。
Dark_nexus还借用了Qbot和臭名昭著的Mirai僵尸网络以前使用的代码和进程,后者2016年发起了“搞瘫半个美国”的Dyn DDos攻击。例如,Dark_nexus的启动代码行为与Qbot相似,会阻止多个信号并将其与终端分离。并且,与Mirai相似,Dark_nexus绑定到固定端口(7630),从而确保该机器人的单个实例可以在该设备上运行。
与其他僵尸网络(TheMoon、Gwmndy和Omg僵尸网络)的另一个相似之处是,研究人员在Dark_nexus的某些版本中发现了socks5代理,它们有可能用于租用足迹。
除了借鉴其他僵尸网络的功能外,Dark_nexus还有自己的“独门绝技”——逃避检测和持久化策略。在发动DDoS攻击时,Dark_nexus会将流量隐藏为无害的浏览器生成的流量来绕过检测。此外,一旦感染了设备,Dark_nexus还试图通过伪装成BusyBox(以/bin/busybox命名)来伪装自己,这是一种流行的软件套件,在单个可执行文件中提供多个Unix实用程序。
Dark_nexus能识别并杀死任何威胁其“持久性”和“统治力”的进程,包括停止cron服务并删除任何可用于重新启动设备的可执行文件的权限。Dark_nexus还使用一种独特的技术来确保其在受感染设备中的“至高权力”,使用基于权重和阈值的评分系统来评估哪些进程可能构成风险,并杀死所有超过可疑阈值的其他进程。
自从12月首次发现该僵尸网络以来,研究人员(基于蜜罐证据)估计该僵尸网络已经危害了全球至少1,372台设备。这些设备主要位于韩国以及中国、泰国和巴西。相比之下,Mirai在2016年11月达到顶峰时已感染了超过600,000台IoT设备。
参考资料
Dark_nexus僵尸网络分析报告:
https://www.bitdefender.com/files/News/CaseStudies/study/319/Bitdefender-PR-Whitepaper-DarkNexus-creat4349-en-EN-interactive.pdf
领取专属 10元无门槛券
私享最新 技术干货