HNS物联网僵尸网络开始对跨平台数据库发起攻击

xiaohui Web安全 2018年7月13日发布
Favorite收藏

导语:Bitdefender的安全研究人员发现一个名为Hide 'N Seek (HNS)的僵尸网络,HNS与Mirai有关的僵尸网络并不相同。Bitdefender高级电子威胁分析师Bogdan Botezatu认为HNS与Hajime僵尸网络更为相似。而Hajime比Mirai更加复杂,实现了隐藏其活动

u=1604120674,3905995749&fm=27&gp=0.jpg

2018年1月10号,Bitdefender的安全研究人员发现一个名为Hide 'N Seek (HNS)的僵尸网络,主要针对的有安全缺陷的网络摄像头。不过几天后便消失了,紧接着,1月20号HNS又强势回归。就在这短短10天时间,该僵尸网络就感染了20000台设备。

Bitdefender的安全研究人员发现HNS与Mirai有关的僵尸网络并不相同。因为HNS有着自己的起源,且不共享Mirai的源代码。因为自去年Mirai源代码外泄后,很多IoT僵尸网络都是Mirai的变种,但是事实上,Bitdefender高级电子威胁分析师Bogdan Botezatu认为HNS与Hajime僵尸网络更为相似。而Hajime比Mirai更加复杂,实现了隐藏其活动与运行进程的更多机制。调查表明,Hajime具有允许攻击者快速添加新型功能的模块化结构。Hajime并未执行分布式拒绝服务(DDoS)攻击或其他任何攻击代码,而是从控制器中提取语句并每隔10分钟在物联网终端上显示一次。该邮件采用数字签名,而且蠕虫只接受硬编码密钥签名邮件。故系统一旦感染,Hajime就将阻止访问端口23、754、5555与5358,以防来自其他僵尸网络(包括 Mirai 在内)的攻击。

1.png

HNS僵尸网络是目前继Hajime僵尸网络之后第二个使用去中心化、点对点架构的IoT僵尸网络。在Hajime僵尸网络中,P2P功能基于比特流(BitTorrent)协议,而HNS僵尸网络则基于传统的P2P通信机制。HNS僵尸网络以复杂并且分散的方式进行通信,使用多种防篡改技术来防止第三方劫持。其僵尸程序可以通过与Reaper相同的漏洞(CVE-2016-10401和其他针对网络设备的漏洞)对一系列设备进行Web开发。

HNS僵尸网络通过扫描互联网寻找固定TCP端口80(80 HTTP Web Service)/8080(8080 HTTP Web Service)/2480(2480 OrientDB)/5984(5984 CouchDB)/23(23 Telnet)和其他随机端口来寻找感染系统。此处,HNS借用了Mirai的一些代码。

2.png

HNS物联网僵尸网络开始对跨平台数据库发起攻击

HNS现在也面向跨平台数据库解决方案,它是目前第一个实施持久性攻击机制的物联网恶意软件,可在设备重启后保持攻击性。

奇虎360公司Netlab研究团队发现,类似点对点的僵尸网络很难被制止,过去几个月HNS僵尸网络一直在不断更新迭代,HNS的感染对象已从路由器和DVR扩展至运行服务器操作系统的数据库应用。目前的一些主要更新有:

1.增加了对AVTECH设备(网络摄像头、网络摄像头)、CISCO Linksys路由器、JAWS/1.0 web服务器、Apache CouchDB、OrientDB的漏洞利用;对于原始报告中提到的两种设备,HNS目前总共支持7种利用方法;

2.经过硬编码的P2P节点地址已增加到171;

3.此外,HNS僵尸网络添加了一个CPU挖矿程序,但该功能还没有开始运行。

4.特别是,在OrientDB和CouchDB数据库服务器的支持下,HNS不再仅仅是物联网僵尸网络,而成为现在的跨平台僵尸网络。

根据Netlab的说法,HNS僵尸网络现在可以使用以下漏洞攻击以下类型的设备:

1.TPLink-Routers RCE;

2.Netgear RCE;

3.(新)AVTECH RCE;

4.(新)CISCO Linksys路由器RCE;

5.(新)JAW/1.0 RCE;

6.(新)OrientDB RCE;

7.(新)CouchDB RCE;

HNS并非首个针对OrientDB服务器的僵尸网络,该服务器非常受各僵尸网络的欢迎。例如,于去年发现的DDG僵尸网络如今还很活跃,其主要目标是挖取门罗币。Netlab的专家指出,HNS虽然也开始释放带有挖矿的有效载荷,但好消息是它们还没有正常运行。

本文翻译自:https://securityaffairs.co/wordpress/74256/malware/hns-botnet-improvement.html如若转载,请注明原文地址: http://www.4hou.com/web/12503.html
点赞 6
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论