一个新的僵尸网络进入了威胁领域,研究人员称其“羞辱”现场的其他人,例如Mirai和Qbot。
网络安全公司Bitdefender的研究人员周三表示,被称为“ dark_nexus” 的新僵尸网络包含了一系列功能和功能,这些特征和功能已经超越了当今僵尸网络中常见的功能。
僵尸网络是机器,物联网(IoT)产品和移动设备的网络,这些网络已经受到威胁并被奴役为主控制器。这些设备可以一起用于执行分布式拒绝服务(DDoS)攻击,大规模发起垃圾邮件活动等等。
Dark_nexus之所以如此命名,是因为其横幅上印有字符串,它具有指向Mirai和Qbot的代码链接,但该团队表示,僵尸网络的大部分功能都是原始的。
Bitdefender说:“尽管它可能与以前已知的IoT僵尸网络共享某些功能,但是其某些模块的开发方式使其功能更加强大和强大。”
Dark_nexus已经存在了三个月,在此期间,已经发布了三个不同的版本。蜜罐透露,至少有1372个僵尸程序与僵尸网络连接,其中大多数托管在中国,大韩民国,泰国和巴西。
为了在发现后危害计算机,僵尸网络将使用凭据填充和漏洞利用。正在使用两个模块,一个为同步模块,一个为异步模块,但是这两个模块都将尝试使用Telnet协议和预定义的凭据列表来获取访问权限。
“与其他广泛使用的僵尸网络所使用的扫描程序非常相似,该扫描程序被实现为对Telnet协议和随后的感染步骤进行建模的有限状态机,其中攻击者根据先前命令的输出来自适应地发出命令,” Bitdefender解释。
在启动过程中,僵尸网络使用与Qbot相同的进程。实现了几个派生,阻止了一些信号,然后僵尸网络将自己与终端分离。僵尸网络将以与Mirai相同的方式将自身绑定到端口7630。此外,该恶意软件还会尝试通过将自身重命名为/ bin / busybox来隐藏其活动。
僵尸网络具有针对12种不同CPU架构定制的有效负载,并且根据受害人的配置和设置进行交付。
Dark_nexus使用一种非常独特的方法来维持机器的立足点-一种对现有流程进行的“风险评估”形式。恶意软件的代码中包括一个列入白名单的进程列表,以及它们的进程标识符,这些标识符指示认为可以的进程。越过“怀疑阈值”的所有事物都会被杀死。
僵尸网络连接到两台命令和控制(C2)服务器,以及一台报告服务器,该服务器在发现时接收易受攻击的服务的报告-包含IP和端口号。
服务器地址要么被硬编码为轻量级下载器,要么被提供为反向代理功能,在某些情况下,该地址用于将每个受害者转变为托管服务器的代理,然后再为随机端口上的样本提供服务。
僵尸网络发起的攻击非常典型,只有一个例外-browser_http_req命令。Bitdefender表示此元素“高度复杂且可配置”,并且“试图将流量伪装成浏览器可能产生的无害流量”。
另一个有趣的功能是尝试防止设备重新启动。Cron服务被破坏并停止,同时还从可能重新启动计算机的可执行文件中删除了权限。
僵尸网络的开发者被认为是希腊人。Helios是著名的僵尸网络作者,多年来一直在地下论坛中鞭打DDoS服务。
研究人员还在恶意软件的某些版本中发现了socks5代理,在Mirai变体,TheMoon和Gwmndy等僵尸网络中也发现了此功能,并继续关注僵尸网络的发展。
*编译:Domino
*来自:ZDNET