E安全5月10日讯 罗马尼亚安全公司 BitDefender的 安全研究人员发现，“捉迷藏”（Hide and Seek，简称 HNS）物联网僵尸网络恶意软件添新功能，能在设备重启后存活，在完成初始感染后仍能继续驻留在被感染设备上。这是首个能在设备重启后存活的此类恶意软件。

重启设备

重置操作会刷新设备的闪存，能将保存在其中的所有工作数据删除，包括物联网恶意软件。设备所有者通常可以重置设备，以从智能设备、调制调解器和路由器中删除物联网恶意软件，但恶意软件 HNS 却能在这样的操作下“幸存”。

如何实现“设备重启”后的驻留？

研究人员表示，这款恶意软件在某些情况下在将自己拷贝到 /etc/init.d/ 文件夹，这是一个在基于 Linux 操作系统上的启动进程文件夹，因此设备操作系统会在下次重启后自动启动恶意软件进程。

已感染9万台 IoT 设备

HNS 僵尸网络于2018年1月10日初次现身，在1月20日携大量“肉鸡”强势回归。1月25日，HNS 的“肉鸡”数量已从最初的12台扩充至1.4万台；到1月底，该僵尸网络已经“抓了”约3.2万台“肉鸡”。截至目前，该恶意软件已感染了9万台设备。

HNS 是第二款具有P2P架构的IoT 僵尸网络

HNS 恶意软件具有连 Mirai 都无法实现的功能。Bitdefender 的研究人员格丹·博泰扎图指出，HNS不同于最近几周出现的其它IoT僵尸网络，它并非是 Mirai 的另一变种，反而与 Hajime 更加类似。

博泰扎图指出，HNS 是继 Hajime 僵尸网络之后，已知的第二款具有点对点（peer-to-peer，简称P2P）架构的 IoT 僵尸网络。但就 Hajime 而言，P2P 功能建立在 BitTorrent  协议的基础之上，而 HNS 则具有自定义构建的 P2P 通信机制。

该僵尸网络背后的操纵者利用两个漏洞（AVTECH网络摄像头 A/NVR/DVR PWDGRP.CGI 提权漏洞和 Wansview NCS601W 网络摄像头的一个漏洞）创建了初始的僵尸网络。与如今其它活跃的物联网僵尸网络不同的是，它使用自定义 P2P 协议控制被感染的系统。

最新 HNS 恶意软件不仅可以利用另外两个漏洞，还支持暴力破解操作，被感染的设备将扫描暴露了 Telnet 端口的其它设备，并尝试使用预设凭证登录设备。研究人员指出，HNS 的开发人员还有时间调整这个暴力破解方法，此外，这款恶意软件能识别至少两种类型的设备，并试图使用出厂默认凭证登录这些系统，而不是盲目猜测密码。

此外，HNS 代码库还会接收更新，目前已拥有针对10种不同设备架构的10种二进制。

持续驻留的前提：感染通过Telnet进行

值得庆幸的是，HNS 尚无法在所有被感染上的设备上持续驻留。博泰扎图表示，HNS 要维持持久性其感染必须通过 Telnet 进行，因为需要 root 权限将二进制文件拷贝到 init.d 目录。

HNS 僵尸网络目前仍处于发展阶段，且这款恶意软件仍不支持发起 DDoS 攻击。尽管如此，HNS 可在被感染的设备上窃取数据并执行代码，这意味着该僵尸网络支持插件/模块系统，并且可以随时利用任何类型的恶意代码进行扩展，仍需予以警惕。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/330695187.shtml