新的Kaiji恶意软件通过SSH暴力攻击针对物联网设备

globe-ddos-botnet-map-world.png

安全研究人员说,他们已经发现了另一种恶意软件,该恶意软件专门用于感染基于Linux的服务器和智能物联网(IoT)设备,然后滥用这些系统发起DDoS攻击。

上周,一个名为MalwareMustDie的安全研究人员和Intezer Labs的团队发现了这种名为Kaiji的新恶意软件。

该恶意软件与其他IoT恶意软件的类型有很大不同,主要是因为它是使用Go编程语言而不是C或C ++编写的,而这两种语言是当今大多数IoT恶意软件所使用的两种语言。

Go恶意软件很少见,不是因为效率不高,而是因为在GitHub和黑客论坛上已经可以免费使用许多C或C ++项目,这使得创建IoT僵尸网络变得简单。

如今,很少有IoT恶意软件作者从头开始花费时间编写僵尸网络。实际上,绝大多数IoT僵尸网络只是从多个方面提取的不同部分和模块的组合,并结合到同一旧僵尸网络代码库的新变体中。

Intezer的恶意软件分析师Paul Litvak说:“安全专家对物联网(IoT)僵尸网络生态系统进行了比较详细的记录。”他在昨天发布的一份报告中分析了该代码。

“很少看到僵尸网络的工具是从头开始编写的。”

KAIJI通过SSH蛮力攻击进行传播

根据Litvak和MalwareMustDie的说法,Kaiji已经在野外被发现,并在世界范围内缓慢传播,使新的受害者成为受害者。

Intezer研究人员说,目前,僵尸网络无法使用漏洞感染未修补的设备。相反,Kaiji僵尸网络对SSH设备暴露在互联网上的IoT设备和Linux服务器执行暴力攻击。

Litvak说,只有“ root”帐户是针对性的。原因是,僵尸网络需要对受感染设备的root访问权限,以便对原始网络数据包进行操作,以应对他们想要执行的DDoS攻击以及他们想要执行的其他操作。

一旦获得对设备根帐户的访问权限,Kaiji将以三种方式使用该设备。首先,针对DDoS攻击。其次,对其他设备进行更多的SSH蛮力攻击。第三,它会窃取任何本地SSH密钥,并传播到根帐户过去管理的其他设备。

KAIJI似乎仍在开发中

Litvak说,僵尸网络尽管具有发起六种不同类型的DDoS攻击的能力,但显然仍在进行中。

与其他较完善的僵尸网络相比,该代码缺乏功能,在某些地方包含“ demo”字符串,并且rootkit模块通常会自我调用太多次并耗尽设备的内存,从而导致崩溃。

此外,Kaiji的命令和控制服务器也经常会脱机,使受感染的设备没有任何主服务器,并且容易被其他僵尸网络劫持。

但是,尽管该僵尸网络现在不是威胁,但这并不意味着将来也不会。MalwareMustDie和Litvak现在都在跟踪其发展过程。

两位研究人员还同意,僵尸网络似乎是中国开发人员的工作,因为代码中的许多功能虽然都是用英语编写的,但仅仅是汉字的音译。

僵尸网络碎片化

Kaiji现在是出现在IoT恶意软件领域的最新IoT僵尸网络,最近几个月出现了一些有趣的进展。

僵尸网络感染超过100,000或500,000设备的日子已经一去不复返了。如今,大多数物联网僵尸网络很少会感染超过15,000-20,000台受感染的设备,而这些设备只是成功的设备。

由于开源僵尸网络工具包的普及,现在每天有数百个僵尸网络在活动,它们都在为感染和控制相同数量的IoT设备而斗争。结果,整个物联网僵尸网络市场现在分散了,并被众多较小的参与者所分割。

目前,最大的僵尸网络之一是Mozi僵尸网络,根据CenturyLink的Black Lotus Labs的报告,该僵尸网络在过去四个月中已成功感染了16,000多个僵尸网络。

最近其他著名的僵尸网络包括新的Hoaxcalls IoT恶意软件株系Mukashidark_nexus

 

*编译:Domino

*来自:ZDNET