English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
新一代“智能”僵尸网络已经入侵上千台华硕、D-Link路由器
文章来源:奥航智讯  作者:SCA  发布时间:2020-04-10  浏览次数:365

安全研究人员透露,在过去的三个月中,一个新的僵尸网络已经破坏了上千台ASUS、D-Link和Dasan Zhone路由器,以及诸如录像机和热像仪之类的物联网(IoT)设备。


该僵尸网络称为Dark_nexus,其技术和战术类似于以前的危险IoT威胁,例如Qbot银行恶意软件和Mirai僵尸网络。但是,Dark_nexus还配备了一个创新模块,用于实现持久性和检测逃避,研究人员说“该技术使其他[僵尸网络]感到羞耻”。


Bitdefender的研究人员在周三的分析中说:


虽然[Dark_nexus]可能与以前已知的IoT僵尸网络共享某些功能,但是其某些创新模块使其具有更强大的功能。例如,有效载荷针对12种不同的CPU架构进行了编译,并根据受害人的配置动态传送。


Dark_nexus还借用了Qbot和臭名昭著的Mirai僵尸网络以前使用的代码和进程,后者2016年发起了“搞瘫半个美国”的Dyn DDos攻击。例如,Dark_nexus的启动代码行为与Qbot相似,会阻止多个信号并将其与终端分离。并且,与Mirai相似,Dark_nexus绑定到固定端口(7630),从而确保该机器人的单个实例可以在该设备上运行。


与其他僵尸网络(TheMoon、Gwmndy和Omg僵尸网络)的另一个相似之处是,研究人员在Dark_nexus的某些版本中发现了socks5代理,它们有可能用于租用足迹。


除了借鉴其他僵尸网络的功能外,Dark_nexus还有自己的“独门绝技”——逃避检测和持久化策略。在发动DDoS攻击时,Dark_nexus会将流量隐藏为无害的浏览器生成的流量来绕过检测。此外,一旦感染了设备,Dark_nexus还试图通过伪装成BusyBox(以/bin/busybox命名)来伪装自己,这是一种流行的软件套件,在单个可执行文件中提供多个Unix实用程序。


Dark_nexus能识别并杀死任何威胁其“持久性”和“统治力”的进程,包括停止cron服务并删除任何可用于重新启动设备的可执行文件的权限。Dark_nexus还使用一种独特的技术来确保其在受感染设备中的“至高权力”,使用基于权重和阈值的评分系统来评估哪些进程可能构成风险,并杀死所有超过可疑阈值的其他进程。


自从12月首次发现该僵尸网络以来,研究人员(基于蜜罐证据)估计该僵尸网络已经危害了全球至少1,372台设备。这些设备主要位于韩国以及中国、泰国和巴西。相比之下,Mirai在2016年11月达到顶峰时已感染了超过600,000台IoT设备。(文章来源安全牛)


参考资料

Dark_nexus僵尸网络分析报告:

https://www.bitdefender.com/files/News/CaseStudies/study/319/Bitdefender-PR-Whitepaper-DarkNexus-creat4349-en-EN-interactive.pdf


 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司