新型 IoT殭屍網路「捉迷藏」來襲，並非Mirai 變種

新聞 01-27

網路安全公司 Bitdefender 的安全研究人員發現，新型IoT殭屍網路「捉迷藏」（HNS）1月20日攜大量「肉雞」強勢回歸。其首次被發現是 2018年1月12日，截至1月25日，HNS 的「肉雞」數量已從最初的 12 台擴充至 1.4 萬台，也就是說，其在短短十幾天內增長了1000多倍。

並非 Mirai 變種，但與針對中國 IOT 設備的 Hajime 類似

Bitdefender 高級電子威脅分析師 Bogdan Botezatu 認為，與目前大多數針對 IOT 設備的殭屍網路不同，HNS並非 Mirai 的變種，反而與專門攻擊中國物聯網設備的 Hajime 更加類似。

Hajime 又是何方神聖？說起來它也是很有個性的一款殭屍蠕蟲了。

據此前諸多媒體的報道，它並不會執行惡意操作，也不包含任何分散式拒絕攻擊（DDoS）功能與代碼，反而每隔10分鐘向被感染的設備推送一個消息：

我們是保護系統的白帽子。我們將通過此方法展示重要信息。

雷鋒網發現，Hajime還做了一系列改善安全性的動作，比如阻擋Mirai賴以攻擊的埠（23、7547、5555和5358的訪問），關閉這些埠，將有效組織設備被Mirai感染。

但是，有人覺得 Hajime 這種強行提供保護的方式並不合法，難保有一天 Hajime 的作者反戈。

根據 Hajime 的代碼，製造者可以隨時在網路中的人易受感染設備中打開 Shell 腳本。由於使用了模塊化代碼，設計者可以隨時添加新的功能。一旦製作者改變主意打算搞點事情，便可以立即將受感染的設備轉變成一個巨大的惡意殭屍網路。

Botezatu 指出，HNS是繼 Hajime 殭屍網路之後第二款具有點對點（P2P）架構的已知IoT殭屍網路。但就 Hajime 而言，P2P 功能建立在 BitTorrent 協議的基礎之上，而HNS則具有自定義構建的 P2P 通信機制。

根據Botezatu在撰寫的分析，每個殭屍程序都包含一個其他被感染機器人的IP列表，這個列表可以隨著殭屍網路的增長和殭屍程序的丟失或獲得而實時更新。

HNS 將中繼指令和命令互相轉發，類似於P2P協議的基礎。 Botezatu 說 HNS 機器人可以接收和執行幾種類型的命令，比如「數據泄露，代碼執行和對設備操作的干擾」。

與 Hajime 一樣，研究人員並未在 HNS 中發現 DDoS 攻擊功能，也就是說 HNS 旨在作為代理網路進行部署，這與2017年大多數IoT殭屍網路被武器化的方式類似。此前，DDoS攻擊引來太多關注，從而使得很多殭屍網路消失。

高度自定義化

HNS殭屍網路對具有開放 Telnet 埠的設備發起字典暴力破解攻擊，這種傳播機制與其獨特的 P2P 殭屍管理協議一樣，具有高度自定義化的特徵。

Botezatu 解釋，該殭屍程序具有類似蠕蟲的傳播機制，會隨機生成IP地址列表，向其發送SYN報文探測埠（232323,80,8080）開放情況。一旦建立連接，該殭屍程序就會尋找 Banner（「buildroot login:」）。在獲得該登錄 Banner 後，它會嘗試使用一系列預定義憑證進行登錄。若獲取失敗，該殭屍網路會嘗試使用硬編碼列表發起字典攻擊。

雷鋒網發現，一旦與新的受害者建立會話，這個樣本將會通過「狀態機」運行，以此正確識別目標設備並選擇最適合的攻擊方式。例如，如果受害者與該殭屍程序位於同一區域網，該殭屍程序便會設置 TFTP 伺服器，允許受害者下載這個樣本。如果受害者在使用互聯網，這個殭屍程序將會嘗試通過特定的遠程 Payload 傳送方式讓受害者下載並運行該惡意軟體樣本。這個列表可遠程更新，並在遭遇感覺的主機中進行傳播。

但值得慶幸的是，HNS 與所有 IoT 惡意軟體一樣，無法在被感染設備上建立持久性，也就是說設備重啟時，這款惡意軟體會被自動刪除。這也使得相關人員要24小時全天候管理該殭屍網路，因為其創建者會持續監控該殭屍網路，以確保繼續抓新的「肉雞」。

HNS仍處在開發當中，殺傷力不容忽視

由於物聯網是惡意軟體領域的新寵，HNS也在不斷變化，創建者正在探索新的傳播和漫遊管理技術。

由於這些「新」殭屍網路中的許多在幾個星期後就有消失的趨勢，所以希望HNS的作者感到無聊，放棄他的「實驗」。

專家表示，由1.4萬個「肉雞」組成的殭屍網路不容忽視，因為一般能夠有一定「殺傷力」的殭屍網路，根本不需要幾萬個肉雞，四五千就足矣。

安全建議

Imperva 的安全研究員Nadav Avital認為：