罗马尼亚安全公司 BitDefender 的安全研究人员发现 Hide and Seek,简称 HNS 物联网僵尸网络恶意软件添新功能,能在设备重启后存活,在完成初始感染后仍能继续驻留在被感染设备上。
研究人员表示,这款恶意软件在某些情况下在将自己拷贝到 /etc/init.d/ 文件夹,这是一个在基于 Linux 操作系统上的启动进程文件夹,因此设备操作系统会在下次重启后自动启动恶意软件进程。
HNS 僵尸网络于2018年1月10日初次现身,在1月20日携大量“肉鸡”强势回归。1月25日,HNS 的“肉鸡”数量已从最初的12台扩充至1.4万台;到1月底,该僵尸网络已经“抓了”约3.2万台“肉鸡”。截至目前,该恶意软件已感染了9万台设备。
HNS 恶意软件具有连 Mirai 都无法实现的功能。Bitdefender 的研究人员格丹·博泰扎图指出,HNS不同于最近几周出现的其它IoT僵尸网络,它并非是 Mirai 的另一变种,反而与 Hajime 更加类似。
博泰扎图指出,HNS 是继 Hajime 僵尸网络之后,已知的第二款具有点对点(peer-to-peer,简称P2P)架构的 IoT 僵尸网络。但就 Hajime 而言,P2P 功能建立在 BitTorrent 协议的基础之上,而 HNS 则具有自定义构建的 P2P 通信机制。
该僵尸网络背后的操纵者利用两个漏洞创建了初始的僵尸网络。与如今其它活跃的物联网僵尸网络不同的是,它使用自定义 P2P 协议控制被感染的系统。
最新 HNS 恶意软件不仅可以利用另外两个漏洞(AVTECH网络摄像头 A/NVR/DVR PWDGRP.CGI 提权漏洞和 Wansview NCS601W 网络摄像头的一个漏洞),还支持暴力破解操作,被感染的设备将扫描暴露了 Telnet 端口的其它设备,并尝试使用预设凭证登录设备。
研究人员指出,HNS 的开发人员还有时间调整这个暴力破解方法,此外,这款恶意软件能识别至少两种类型的设备,并试图使用出厂默认凭证登录这些系统,而不是盲目猜测密码。
此外,HNS 代码库还会接收更新,目前已拥有针对10种不同设备架构的10种二进制。