信息來源：secdoctor

外媒 1 月 25 日消息，一個名為 Hide’N Seek（ HNS ）的新僵尸網(wǎng)絡正在世界各地不斷增長，對物聯(lián)網(wǎng)設備造成重大影響（截至目前為止，受感染的物聯(lián)網(wǎng)設備數(shù)量已達 2 萬）。據(jù)研究人員介紹，HNS 僵尸網(wǎng)絡使用定制的點對點通信來誘捕新的物聯(lián)網(wǎng)設備并構建其基礎設施，目前 HNS 主要是針對不安全的物聯(lián)網(wǎng)設備，尤其是 IP 攝像機。

Bitdefender 的安全研究人員發(fā)現(xiàn) HNS 僵尸網(wǎng)絡于 2018 年 1 月 10 日首次出現(xiàn)，和其他與 Mirai 有關的物聯(lián)網(wǎng)（IoT）僵尸網(wǎng)絡并不相同。因為 HNS 有著不同的起源，且不共享其源代碼。事實上，Bitdefender 高級電子威脅分析師 Bogdan Botezatu 認為 HNS 與 Hajime 僵尸網(wǎng)絡更為相似。

Bitdefender 的研究人員在 1 月 24 日發(fā)表的博客文章中寫道： “ HNS 僵尸網(wǎng)絡以復雜并且分散的方式進行通信，使用多種防篡改技術來防止第三方劫持。” 其僵尸程序可以通過與 Reaper 相同的漏洞（ CVE-2016-10401 和其他針對網(wǎng)絡設備的漏洞），對一系列設備進行 Web 開發(fā)。

除此之外，HNS 還可以執(zhí)行多個命令，包括數(shù)據(jù)泄露、代碼執(zhí)行和對設備操作的干擾。其僵尸程序具有類似蠕蟲的特性，可以隨機生成一個 IP 地址列表來獲得潛在的目標，隨后向列出的每個目標設備發(fā)起一個原始的套接字 SYN 連接。

一旦連接成功，僵尸程序將查找設備提供的 “ buildroot login ” 橫幅，并嘗試使用一組預定義憑據(jù)進行登錄。如果失敗，它會試圖通過使用硬編碼列表的字典攻擊來破解設備的密碼。

其次，若用戶設備與僵尸程序具有相同的局域網(wǎng)，那么僵尸程序將會設置 TFTP 服務器，以便受害者能夠下載樣本。但如果是位于互聯(lián)網(wǎng)上，僵尸程序將嘗試一種特定的遠程有效載荷傳遞方法，讓用戶設備下載并運行惡意軟件樣本。

一旦設備被感染，僵尸網(wǎng)絡背后的黑客就可以使用命令來控制它。目前僵尸網(wǎng)絡已經從最初的 12 個受損設備增加到 2 萬多個。

但幸運的是，像大多數(shù)物聯(lián)網(wǎng)僵尸網(wǎng)絡一樣，HNS 僵尸網(wǎng)絡不能在受感染的設備上建立持久性。只要通過簡單的設備重新啟動， 受感染的設備中就可以自動刪除惡意軟件。

目前 Bitdefender 的研究人員尚未發(fā)現(xiàn) HNS 僵尸網(wǎng)絡具有 DDoS 功能，這意味著 HNS 將被部署為一個代理網(wǎng)絡。另外，研究人員透露 HNS 僵尸網(wǎng)絡仍然不斷變化中，可能會被應用于多種攻擊場景。