Linux恶意软件正在部署物联网设备僵尸网络

2016-04-06 11:02:12来源:比特网 热度:
ESET安全公司的研究人员发现一款恶意软件,以物联网设备如路由器、网关和无线接入点等为攻击目标。

 

Bot后门”与“扫描器”的杂交
 
该恶意程序被称为KTN-Remastered 或 KTN-RM,是Tsunami (或 Kaiten)以及 Gafgyt的结合。Tsunami是众所周知的IRC(互联网中继聊天)Bot后门,被恶意攻击者用于发起DDOS攻击,而Gafgyt用于远程登录扫描。
 
KTN-RM,研究人员也称其为“Remaiten”,通过下载可执行的恶意二进制文件,感染嵌入式平台和其他连接设备。
 
ESET公司在官方微博上发布的文章中这样说道:
 
“最近,我们发现了一个结合了Tsunami(也称为Kaiten)和Gafgyt的功能的恶意软件,此外,它还具备一些改进和新增功能。我们把这种新的威胁称之为Linux / Remaiten。到目前为止,我们已经发现Linux / Remaiten的三个版本,版本2.0,2.1和2.2。根据代码显示结果,发现者将这种新的恶意软件称之为“KTN-Remastered” 或是 “KTN-RM”。”
 
Linux恶意软件是如何运行的?
 
该恶意软件首先进行远程登录扫描,寻找路由器和智能设备。一旦连接成功,恶意软件将对登录凭据进行猜测,试图掌控一些存在弱口令的设备。
 
如果成功登录,恶意软件会发出一个shell命令给下载机器人,下载针对多种系统架构的恶意二进制文件,随后将其运行在受损系统上。
 
ESET的安全研究人员还发现,这些二进制文件包括C&C服务器的IP地址硬编码列表,机器人还将受感染的设备信息(即IP地址、登录凭据、感染状态)发送至控制服务器上。
 
“当指令执行远程登录扫描,它会尝试连接23端口的随机IP地址。如果连接成功,它会尝试从用户名/密码组合的嵌入列表中猜测登录凭据。如果成功登录,它会发出一个shell命令给下载机器人,下载针对多种架构的恶意二进制文件,并试图运行它们。这是一个尽管看起来略显繁琐却很简单的感染新的设备的方式,因为很可能就存在一个二进制文件可以在运行程序中执行。”
 

责任编辑:高娟

为您推荐

云计算里的安全:警惕云服务被恶意利用

云计算拥有庞大的计算能力与丰富的计算资源,恶意攻击者正在越来越多的利用合法的云计算实施恶意攻击。今年四月份的索尼被黑客攻击事件,就是恶意攻击者利用亚马逊弹性云计算服务对索尼PlayStationNetwork和索尼OnlineEntertainment服务发动攻击所致。网络罪犯还曾利用Amazon的云网络传播恶意软件,盗取了9家银行的用户数据。利用EC2服务,恶意攻击者能够很轻松的破解复杂的密码。对于恶意攻击者,云计算扩展了其攻击能力与攻击范围。首先,云计算的强大计算能力,让密码破解变得简单、快速。同时,云计算里的海量资源,给了恶意软件更多传播的机会。其次,在云计算内部,云端聚集了大量用户数据