Netlab的研究人员已经发现了两种新的名为HEH和Ttint的物联网僵尸网络。
Netlab是中国网络安全巨头奇虎360的网络研究部门。该公司的研究人员首先发现了针对Tenda路由器的Ttint僵尸网络存在两个零日漏洞。
Ttint传播一个基于Mirai恶意软件代码的远程控制木马。
2016年,Mirai攻击了DNS提供商,并影响了PayPal、Spotify、PlayStation Network、Xbox Live、Reddit、亚马逊、GitHub等许多流行服务,引发了广泛的混乱。
Netlab指出,虽然Mirai关注的是DDoS攻击,就像对Dyn - Ttint发起的攻击一样,但它更加复杂。
除了DDoS攻击,Ttint还支持12种远程控制功能,如路由器设备的Socket5代理、篡改路由器DNS、设置iptables和执行自定义系统命令。
僵尸网络还通过在C2通信级别上使用WebSocket-over-TLS协议来规避Mirai检测,并通过使用许多移动的基础设施ip来保护自己。
目前两个零日漏洞Ttint漏洞仍然没有修补。
Netlab随后发现了另一个物联网僵尸网络。这种基因是对等的,研究人员将其命名为“HEH”。
HEH是用Go语言编写的,Netlab说它使用专有的P2P协议。它在端口23/2323上使用Telnet蛮力扩展,影响许多CPU架构,包括x86(32/64)、ARM(32/64)、MIPS(MIPS32/MIPS- iii)和PPC。
僵尸网络由三个模块组成:传播模块、本地HTTP服务模块和P2P模块。
HEH中有9个命令,但至少有3个还没有实现,因为机器人显然还在开发中:
目前,HEH最有用的可用功能是执行Shell命令、更新对等列表,以及下载一个特定文件,由本地HTTP服务器用作HTTP响应数据。
值得注意的是,目前攻击方式是空白的,但不会始终保持这种状态。
这两种僵尸网络都显示出黑客入侵物联网设备的愿望越来越强烈,考虑到联网设备的快速增长和它们通常较弱的安全性,物联网成为这样一个目标并不奇怪。
