4月30日，罗马尼亚的安全商Bitdefender的研究人员对外发布了他们所检测到的一种僵尸网络，该僵尸网络是第一个能在设备重启后继续存活的僵尸网络。目前，研究人员已将它命名为“Hide and Seek（HNS）”，这个名字起得也很有意思，翻译成中文就是“躲猫猫”，不过这也符合其行为模式。

简单来说，该僵尸网络有两个世界第一。首先，它是世界上第一个通过点对点（peer-to-peer，简称P2P）架构进行通信的僵尸网络。其次，它也是第一个能在设备重启后继续存活的僵尸网络。

“Hide and Seek”的迭代攻击过程

HNS于2018年1月10日初次现身，在1月20日携大量“肉鸡”强势出现。1月25日，HNS的僵尸网络数量已从最初的12台扩充至1.4万台，到1月底，数量就有大约3.2万台了。截至目前，该恶意软件已感染了9万台设备。

从最初发现到现在，HNS经历了多次更新，这从其性能的不断完善就可以看出，另一方面也证明这个僵尸网络还在研发阶段，还未投入正式使用。

比如，HNS在4月下旬的新样本就增加了传播方面的很多改进功能。开发者在新的二进制文件中，加入了对两个网络摄像头漏洞的利用，这两个漏洞分别是AVTECH网络摄像头A/NVR/DVR PWDGRP.CGI 提权漏洞和Wansview NCS601W网络摄像头的一个漏洞。除此之外，最新的版本还会进行设备密码的暴力破解，被感染的设备将扫描暴露了Telnet端口的其它设备，并尝试使用预设凭证登录设备，要说明的是，该僵尸网络会以出厂时的默认凭证登录作为暴力破解的基础，而不是盲目猜测登录凭证。尽管如此，HNS的开发人员还在对目前的暴力破解方法进行更新。如果暴力破解登录成功，恶意软件会限制对端口23的访问，从而阻止可能的竞争对手来劫持同一个设备。

除了利用这些漏洞之外，HNS还可以识别两种新类型的设备并利用其默认用户名和密码进行登录。

研究人员发现，这种攻击方法针对各种流行的设备和安全架构，研究表明，该僵尸程序有10种不同的二进制文件，包括x86，x64，ARM（Little Endian和Big Endian），SuperH，PPC等。

进行持久攻击的原理

一旦感染成功执行，该恶意软件会将在自己自行复制到受害者的/etc/init.d/文件夹中，然后再将该文件夹添加到自己的恶意操作系统中。为了实现持久攻击，感染必须通过Telnet进行，因为需要root权限才能将二进制文件复制到init.d目录。

随后它会随机打开一个传播到临近僵尸网络上的UDP端口，这个端口将被攻击者用来与后台进行联系，进行各种操作，比如HNS代码库进行更新。

HNS的危害性

庆幸的是最新版本支持的命令列表与早期版本并没有太大的变化，该僵尸网络仍然不支持DDoS攻击，这样其被广泛利用的机会就很少了。

缓解措施

由于还在研发阶段，所以目前该恶意软件还是能够被删除的，具体办法请点此。尽管如此，HNS还是能在被感染的设备上窃取数据并执行代码，这意味着该僵尸网络支持插件或模块系统，并且可以随时利用任何类型的恶意代码进行扩展。所以，我们还是要保持警惕。

研究人员用于这项研究的样本标识为9ef7ed8af988d61b18e1f4d8c530249a1ce76d69和c6d6df5a69639ba67762ca500327a35b0e3950b0。