安全研究人员说,他们已经发现了另一种恶意软件,该恶意软件专门用于感染基于Linux的服务器和智能物联网(IoT)设备,然后滥用这些系统发起DDoS攻击。
上周,一个名为MalwareMustDie的安全研究人员和Intezer Labs的团队发现了这种名为Kaiji的新恶意软件。
该恶意软件与其他IoT恶意软件的类型有很大不同,主要是因为它是使用Go编程语言而不是C或C ++编写的,而这两种语言是当今大多数IoT恶意软件所使用的两种语言。
Go恶意软件很少见,不是因为效率不高,而是因为在GitHub和黑客论坛上已经可以免费使用许多C或C ++项目,这使得创建IoT僵尸网络变得简单。
如今,很少有IoT恶意软件作者从头开始花费时间编写僵尸网络。实际上,绝大多数IoT僵尸网络只是从多个方面提取的不同部分和模块的组合,并结合到同一旧僵尸网络代码库的新变体中。
Intezer的恶意软件分析师Paul Litvak说:“安全专家对物联网(IoT)僵尸网络生态系统进行了比较详细的记录。”他在昨天发布的一份报告中分析了该代码。
“很少看到僵尸网络的工具是从头开始编写的。”
KAIJI通过SSH蛮力攻击进行传播
根据Litvak和MalwareMustDie的说法,Kaiji已经在野外被发现,并在世界范围内缓慢传播,使新的受害者成为受害者。
Intezer研究人员说,目前,僵尸网络无法使用漏洞感染未修补的设备。相反,Kaiji僵尸网络对SSH设备暴露在互联网上的IoT设备和Linux服务器执行暴力攻击。
Litvak说,只有“ root”帐户是针对性的。原因是,僵尸网络需要对受感染设备的root访问权限,以便对原始网络数据包进行操作,以应对他们想要执行的DDoS攻击以及他们想要执行的其他操作。
一旦获得对设备根帐户的访问权限,Kaiji将以三种方式使用该设备。首先,针对DDoS攻击。其次,对其他设备进行更多的SSH蛮力攻击。第三,它会窃取任何本地SSH密钥,并传播到根帐户过去管理的其他设备。
KAIJI似乎仍在开发中
Litvak说,僵尸网络尽管具有发起六种不同类型的DDoS攻击的能力,但显然仍在进行中。
与其他较完善的僵尸网络相比,该代码缺乏功能,在某些地方包含“ demo”字符串,并且rootkit模块通常会自我调用太多次并耗尽设备的内存,从而导致崩溃。
此外,Kaiji的命令和控制服务器也经常会脱机,使受感染的设备没有任何主服务器,并且容易被其他僵尸网络劫持。
但是,尽管该僵尸网络现在不是威胁,但这并不意味着将来也不会。MalwareMustDie和Litvak现在都在跟踪其发展过程。
两位研究人员还同意,僵尸网络似乎是中国开发人员的工作,因为代码中的许多功能虽然都是用英语编写的,但仅仅是汉字的音译。
僵尸网络碎片化
Kaiji现在是出现在IoT恶意软件领域的最新IoT僵尸网络,最近几个月出现了一些有趣的进展。
僵尸网络感染超过100,000或500,000设备的日子已经一去不复返了。如今,大多数物联网僵尸网络很少会感染超过15,000-20,000台受感染的设备,而这些设备只是成功的设备。
由于开源僵尸网络工具包的普及,现在每天有数百个僵尸网络在活动,它们都在为感染和控制相同数量的IoT设备而斗争。结果,整个物联网僵尸网络市场现在分散了,并被众多较小的参与者所分割。
目前,最大的僵尸网络之一是Mozi僵尸网络,根据CenturyLink的Black Lotus Labs的报告,该僵尸网络在过去四个月中已成功感染了16,000多个僵尸网络。
最近其他著名的僵尸网络包括新的Hoaxcalls IoT恶意软件株系Mukashi和dark_nexus。
*编译:Domino
*来自:ZDNET