信息化觀察網(wǎng)

安全研究人員透露，在過去的三個月中，一個新的僵尸網(wǎng)絡(luò)已經(jīng)破壞了上千臺ASUS、D-Link和Dasan Zhone路由器，以及諸如錄像機和熱像儀之類的物聯(lián)網(wǎng)（IoT）設(shè)備。

該僵尸網(wǎng)絡(luò)稱為Dark_nexus，其技術(shù)和戰(zhàn)術(shù)類似于以前的危險IoT威脅，例如Qbot銀行惡意軟件和Mirai僵尸網(wǎng)絡(luò)。但是，Dark_nexus還配備了一個創(chuàng)新模塊，用于實現(xiàn)持久性和檢測逃避，研究人員說“該技術(shù)使其他[僵尸網(wǎng)絡(luò)]感到羞恥”。

Bitdefender的研究人員在周三的分析中說：

雖然[Dark_nexus]可能與以前已知的IoT僵尸網(wǎng)絡(luò)共享某些功能，但是其某些創(chuàng)新模塊使其具有更強大的功能。例如，有效載荷針對12種不同的CPU架構(gòu)進行了編譯，并根據(jù)受害人的配置動態(tài)傳送。

Dark_nexus還借用了Qbot和臭名昭著的Mirai僵尸網(wǎng)絡(luò)以前使用的代碼和進程，后者2016年發(fā)起了“搞癱半個美國”的Dyn DDos攻擊。例如，Dark_nexus的啟動代碼行為與Qbot相似，會阻止多個信號并將其與終端分離。并且，與Mirai相似，Dark_nexus綁定到固定端口（7630），從而確保該機器人的單個實例可以在該設(shè)備上運行。

與其他僵尸網(wǎng)絡(luò)（TheMoon、Gwmndy和Omg僵尸網(wǎng)絡(luò)）的另一個相似之處是，研究人員在Dark_nexus的某些版本中發(fā)現(xiàn)了socks5代理，它們有可能用于租用足跡。

除了借鑒其他僵尸網(wǎng)絡(luò)的功能外，Dark_nexus還有自己的“獨門絕技”——逃避檢測和持久化策略。在發(fā)動DDoS攻擊時，Dark_nexus會將流量隱藏為無害的瀏覽器生成的流量來繞過檢測。此外，一旦感染了設(shè)備，Dark_nexus還試圖通過偽裝成BusyBox（以/bin/busybox命名）來偽裝自己，這是一種流行的軟件套件，在單個可執(zhí)行文件中提供多個Unix實用程序。

Dark_nexus能識別并殺死任何威脅其“持久性”和“統(tǒng)治力”的進程，包括停止cron服務(wù)并刪除任何可用于重新啟動設(shè)備的可執(zhí)行文件的權(quán)限。Dark_nexus還使用一種獨特的技術(shù)來確保其在受感染設(shè)備中的“至高權(quán)力”，使用基于權(quán)重和閾值的評分系統(tǒng)來評估哪些進程可能構(gòu)成風(fēng)險，并殺死所有超過可疑閾值的其他進程。

自從去年12月首次發(fā)現(xiàn)該僵尸網(wǎng)絡(luò)以來，研究人員（基于蜜罐證據(jù)）估計該僵尸網(wǎng)絡(luò)已經(jīng)危害了全球至少1,372臺設(shè)備。這些設(shè)備主要位于韓國以及中國、泰國和巴西。相比之下，Mirai在2016年11月達到頂峰時已感染了超過600,000臺IoT設(shè)備。