新型P2P僵尸网络感染物联网设备做DDoS和挖矿
360安全团队日前发现HEH僵尸网络,用Go语言编写并配备P2P协议通过Telnet服务,在 23/2323 端口上疯狂传播。
据分析,其病毒模块可劫持联网的物联网设备来组建僵尸网络,可执行任意shell命令执行DDoS攻击和挖矿等行为。
该僵尸网络包含多种CPU体系架构,囊括了8632/64)、ARM(32/64)、MIPS(MIPS32 / MIPS-III)和PowerPC(PPC)等。
尽管僵尸网络目前还处于早期开发阶段,但其已经具备了传播模块,本地HTTP服务模块和P2P模块这三个功能模块。
据分析,HEH僵尸网络病毒先由恶意Shell脚本下载并执行,再从特定网站下载适用于所有不同CPU架构的恶意程序。
然后基于端口号终止许多服务进程,接下来启动一个HTTP服务器播放《世界人权宣言》,随后初始化一个P2P模块。
被感染的设备会使用P2P协议感染局域网,允许攻击者执行任意脚本,通过触发自毁命令擦除受感染设备所有数据。
很显然,该病毒样本可以利用受感染设备搭建本地服务模块和P2P传输模块,执行去中心化的传播以感染更多设备。
病毒样本配备由171个用户名和504个密码组成的密码字典作为暴力破解工具,以此染更多新设备并进一步扩大感染。
通过以上分析我们不难发现,HEH僵尸网络病毒目前的核心仍旧是漏洞和弱密码,尤其是使用出厂默认密码的设备。
尽管该僵尸网络的运行机制尚不成熟,攻击模块之类的功能暂未实现,但笔者看来其目前的攻击理念已经相当可怕。
比如正在开发的P2P结构、多CPU架构支持和嵌入式自毁功能等使其拥有自毁式自我痕迹消除,存在很大潜在威胁。
现阶段被攻陷的物联网设备主要当做肉鸡执行DDoS攻击,而挖矿则是设备闲置时的附加功能,可谓榨干最后一滴血!
尽管物联网设备的处理器性能挖矿能力不足,但足够数量的设备产生的影响不可小觑,要知道非海量不足以成大事!
这些黑客将控制的设备性能发挥到极端以实现利润最大化,而受害者则是做了黑客攻击的替罪羊、做了别人的嫁衣。
那些还在使用默认密码和弱密码的朋友,还不赶紧修改设备、定期升级固件!你的路由器、智能音箱都是黑客的菜!