新型P2P僵尸网络感染物联网设备做DDoS和挖矿

360安全团队日前发现HEH僵尸网络，用Go语言编写并配备P2P协议通过Telnet服务，在 23/2323 端口上疯狂传播。

据分析，其病毒模块可劫持联网的物联网设备来组建僵尸网络，可执行任意shell命令执行DDoS攻击和挖矿等行为。

该僵尸网络包含多种CPU体系架构，囊括了8632/64)、ARM(32/64)、MIPS(MIPS32 / MIPS-III)和PowerPC(PPC)等。

尽管僵尸网络目前还处于早期开发阶段，但其已经具备了传播模块，本地HTTP服务模块和P2P模块这三个功能模块。

据分析，HEH僵尸网络病毒先由恶意Shell脚本下载并执行，再从特定网站下载适用于所有不同CPU架构的恶意程序。

然后基于端口号终止许多服务进程，接下来启动一个HTTP服务器播放《世界人权宣言》，随后初始化一个P2P模块。

被感染的设备会使用P2P协议感染局域网，允许攻击者执行任意脚本，通过触发自毁命令擦除受感染设备所有数据。

很显然，该病毒样本可以利用受感染设备搭建本地服务模块和P2P传输模块，执行去中心化的传播以感染更多设备。

病毒样本配备由171个用户名和504个密码组成的密码字典作为暴力破解工具，以此染更多新设备并进一步扩大感染。

通过以上分析我们不难发现，HEH僵尸网络病毒目前的核心仍旧是漏洞和弱密码，尤其是使用出厂默认密码的设备。

尽管该僵尸网络的运行机制尚不成熟，攻击模块之类的功能暂未实现，但笔者看来其目前的攻击理念已经相当可怕。

比如正在开发的P2P结构、多CPU架构支持和嵌入式自毁功能等使其拥有自毁式自我痕迹消除，存在很大潜在威胁。

现阶段被攻陷的物联网设备主要当做肉鸡执行DDoS攻击，而挖矿则是设备闲置时的附加功能，可谓榨干最后一滴血！

尽管物联网设备的处理器性能挖矿能力不足，但足够数量的设备产生的影响不可小觑，要知道非海量不足以成大事！

这些黑客将控制的设备性能发挥到极端以实现利润最大化，而受害者则是做了黑客攻击的替罪羊、做了别人的嫁衣。

那些还在使用默认密码和弱密码的朋友，还不赶紧修改设备、定期升级固件！你的路由器、智能音箱都是黑客的菜！