迅速发展的新型物联网僵尸网络Dark Nexusk:具有很高的持久性,除了能够发起DDoS攻击外,还能够传播各种类型的恶意软件

安全研究人员正在跟踪一个新的僵尸网络,该僵尸网络在过去几个月中一直在快速发展,其目标对象是具有针对12 CPU架构进行交叉编译的二进制文件的嵌入式设备。

根据安全供应商Bitdefender 的最新报告,Dark Nexus僵尸网络借鉴了先前成功的物联网(IoT)威胁(例如Qbot和Mirai)的构想和功能,但主要是由知名的恶意软件开发人员最初创作的,该软件的宣传显示,它可以分布式拒绝YouTube和其他社交媒体网站上的服务(DDoS)服务。

僵尸客户端是针对12 CPU架构交叉编译的,这意味着它可以感染各种设备,包括路由器,数字录像机(DVR)和监控摄像机。

最新版本还在受感染的系统上部署了SOCKSv5代理,从而使黑客除了在DDoS攻击中滥用它们之外,还可以通过它们传送恶意流量。

Dark Nexus快速迭代

Bitdefender于12月开始检测Dark Nexus bot,当时它已经是版本4。在接下来的三个月中,研究人员观察了30多次迭代-最新版本是8.6-在此期间,开发人员进行了改进和添加了功能,包括可自定义的DDoS攻击技术,改进的扫描和感染例程以及持久性机制。

Bitdefender威胁研究和报告主管Bogdan Botezatu说 “不仅它仍然得到维护,而且还在积极推广到新设备中。”

“据估计有200亿以上的IoT设备正在使用,IoT僵尸网络有很大的增长空间,如果我们对僵尸网络所有权的假设正确的话,我们预计Dark Nexus将会成为DDoS的重要僵尸网络。”

通过蛮力传播

该僵尸程序的最新版本通过使用默认凭据的蛮横Telnet连接进行传播。但是,早期版本还利用了已知漏洞的利用程序:Netgear DGN1000中的远程代码执行(RCE)漏洞,在DVR和其他设备上使用的JAWS Web服务器中的RCE问题以及Linear eMerge E3系列中的命令注入门禁控制设备(CVE-2019-7256)。

目前尚不清楚为什么在较新的版本中停止使用这些漏洞利用程序,但它表明开发人员可以轻松应对可能发现的任何将来的漏洞。

Telnet蛮力攻击由两个模块处理,一个模块执行同步扫描,另一个模块对命令和控制服务器提供的IP地址进行异步扫描。同步模块的行为就像蠕虫一样,因为它在成功通过身份验证后还将有效负载传递到受害设备。异步模块仅将有效凭据和受害者的IP地址报告回服务器以供以后感染。

僵尸程序测试的默认凭据列表随着时间的推移而增长,并且在最新的8.6版本中进行了重大更新。该列表包含的密码包含ipcam,zhone(路由器制造商),电信,三星和dreambox(卫星机顶盒)之类的词,反映了目标设备的种类。

黑暗Nexus持久性

一旦感染了设备,该机器人便会尝试将自己伪装成/ bin / busybox。Busybox是一个用户空间软件包,在嵌入式系统上很流行,并且提供最常见的UNIX命令行实用程序的轻量级版本。它在这种系统上的存在并不罕见。

该恶意软件会禁用内核监视程序,因此遇到错误时系统不会自动重新引导。然后,它通过分析现有流程的不同属性和特征来建立现有流程的白名单,并为其分配可疑分数。怀疑分数超过100的进程将被杀死。

本质上,作者创建了自己的恶意软件检测引擎,以确保Dark Nexus是唯一可以控制受感染设备的机器人。

该机器人在进化过程中使用了几种持久性机制。早期版本通过停止cron服务来阻止设备重新启动,该服务处理Linux系统上的计划任务,并且更改了可用于重新引导设备的各种实用程序的权限。

较新版本的复制命令将复制到初始化期间使用的/etc/init.d/rcS文件,如果存在此文件,则复制到/home/start.sh文件。它还清除了iptables规则,以确保内部防火墙不会阻止其与命令和控制服务器的通信以及它所发起的任何攻击。

在某些嵌入式设备(尤其是路由器)上实现持久性非常困难,因为在其运行时所做的修改仅存储在RAM中,并且其文件系统会在重启时重置。

这就是为什么Dark Nexus尝试尽可能长时间地延迟设备重新启动的原因,并使用了作者可能知道的一些持久性技术,这些技术至少可以在某些设备上使用,但不是全部。

在早期版本中,该漫游器包括反向代理模块,该模块用于将针对不同体系结构编译的二进制文件提供给新感染的设备。这些二进制文件在本地托管在受害设备上,并且一直保持最新状态,这可能不是很有效,因此该模块在更高版本中消失了。但是,作者添加了一个新的SOCKS5代理模块,该模块可用于通过设备路由流量。

Bitdefender研究人员在报告中说:“ Dark Nexus不是第一个具有此功能的僵尸网络。TheMoon,Gwmndy,Omg僵尸网络和某些Mirai变体以前都具有socks5代理。可能的动机是在地下论坛上出售使用这些代理的权限。但是,我们还没有找到证据。”

DDoS模块可以使用多种攻击技术,其中一种被研究人员称为“高度复杂且可配置”的称为browser_http_req。此技术掩盖了恶意HTTP请求,以使其看起来好像源自真实浏览器。攻击者可以在HTTP标头中配置各种值,可能会绕过防御者根据流量模式设置的任何过滤规则。

Dark Nexus的缓解措施

防范IoT恶意软件的最佳方法是更改​​设备随附的默认管理凭据,并确保其固件始终是最新的。大多数设备不应直接暴露于互联网。

路由器无法避免这种情况,但是可以将其管理界面限制为LAN。例如,IP摄像机和DVR无需直接连接到Internet,并且可以通过VPN进行安全监控。

Botezatu说:“公司应该审核内部网络,以识别连接的IoT设备,并进行漏洞评估,以发现未打补丁或配置错误的设备。”

本文为作者 新然 独立观点,并不代表 我是CIO 立场。

发表评论

登录后才能评论