近日,Canthink 络安全攻防实验室发现了第一个物联 僵尸 络恶意软件,在重启后它仍被保留在受感染的设备上,安全研究员将这种恶意软件命名为Hide and Seek(HNS),或称Hide’N Seek。
这无疑是物联 和路由器恶意软件领域的一场巨变,因为在这之前,用户总是通过重置设备来从他们的智能设备、调制解调器和路由器中移除物联 恶意软件。而现在,重置操作刷新了设备的闪存,设备将保留其所有工作数据,包括这种物联 恶意软件。
这种物联 恶意软件在某些情况下会将其自身复制到/etc/init.d/,这是一个在基于Linux的操作系统上放置守护程序脚本的文件夹,就像路由器和物联 设备上的守护程序脚本一样。由此,设备的操作系统将在重启后自动启动恶意软件的进程。
据悉,Canthink 络安全研究员于今年1月初首先发现了HNS恶意软件及其相邻的僵尸 络,该僵尸 络在同月底增长到约32000个。从发现至今,HNS已经感染了超90000种设备。
络犯罪分子利用两个漏洞创建了初始僵尸 络,与其他物联 僵尸 络不同,它使用自定义的P2P协议来控制受感染的系统。而最新发现的HNS版本不仅增加了对其他两种攻击的支持,还增加了对强制攻击的支持。
不过,HNS无法获得所有受感染设备的引导许可:为了实现持久性,感染必须通过Telnet进行,因为需要root权限将二进制文件复制到init.d目录。此外,Canthink安全专家还表示,虽然HNS僵尸 络仍在进行,但恶意软件还难以支持DDoS攻击。
尽管如此,在受感染设备上窃取数据和执行代码的功能仍然存在,这意味着僵尸 络支持插件/模块系统,并且可以随时用任何类型的恶意代码进行扩展。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!