近日,网络安全研究人员已经完成了一个新的僵尸网络的终结工作,该僵尸网络在野外劫持了与Internet连接的智能设备,以执行邪恶的任务,主要是DDoS攻击和非法加密货币硬币挖掘。
由奇虎360的安全团队发现的HEH僵尸网络,用Go语言编写并配备有专有的对等(P2P)协议,通过Telnet服务在端口23/2323上的强力攻击进行传播,并且可以执行任意的shell命令。
研究人员说,迄今为止发现的HEH僵尸网络样本支持多种CPU体系结构,包括x86(32/64),ARM(32/64),MIPS(MIPS32 / MIPS-III)和PowerPC(PPC)。
国际知名白帽黑客、东方联盟创始人郭盛华透露:“僵尸网络尽管处于开发的早期阶段,但它具有三个功能模块:传播模块,本地HTTP服务模块和P2P模块。”
HEH示例最初是由名为“ wpqnbw.txt”的恶意Shell脚本下载并执行的,然后使用Shell脚本从网站(“ pomf.cat”)下载适用于所有不同CPU架构的恶意程序,然后最终终止许多服务进程基于它们的端口号。
第二阶段从HEH示例开始,首先启动HTTP服务器,该服务器以八种不同的语言显示《世界人权宣言》,随后初始化一个P2P模块,该模块跟踪受感染的同级物并允许攻击者运行任意的shell命令,包括通过触发自毁命令擦除受感染设备的所有数据。
尽管僵尸网络作者尚未实现“攻击”命令,但其他命令可以重新启动僵尸程序,更新对等方列表并退出当前正在运行的僵尸程序。
研究人员说:“ Bot运行P2P模块后,它将以并行方式针对两个端口23和2323对Telnet服务执行强力任务,然后完成其自身的传播。”
换句话说,如果Telnet服务在端口23或2323上打开,它将尝试使用由171个用户名和504个密码组成的密码字典进行暴力攻击。成功侵入后,新感染的受害者将被添加到僵尸网络中,从而对其进行放大。
研究人员总结说:“该僵尸网络的运行机制尚未成熟,并且尚未实现某些重要功能,例如攻击模块。话虽这么说,新的和正在开发的P2P结构,多CPU架构支持,嵌入式自毁功能,都使该僵尸网络具有潜在的危险。”(欢迎转载分享)