新的物联网僵尸网络Dark Nexux,用发起分布式拒绝服务(DDoS)攻击。

Dark Nexux是Bitdefender发现的一种新兴的物联网僵尸网络的名称,该僵尸网络用于发起DDoS攻击。 僵尸网络通过利用漏洞进行传播,并针对包括路由器(来自Dasan Zhone,Dlink和ASUS的路由器),录像机和热像仪的各种IoT设备发起凭证填充攻击。 “的扫描程序被实现为对Telnet协议和随后的感染步骤进行建模的有限状态机,攻击者将根据先前命令的输出来自适应地发出命令,” Bitdefender 透露。 
Dark Nexus这个名字来自于 僵尸网络 标语,专家指出,尽管有些 僵尸网络功能是原始的,其代码与Mirai和Qbot相似。 专家观察到,在中国,韩国,泰国,巴西和俄罗斯感染了Dark_nexus病毒,它于今年初出现在威胁领域,目前由至少1372个受感染设备组成,充当反向代理。 由Bitdefender研究人员命名的Dark Nexus僵尸网络自发现以来就经历了非常快速的开发过程。 根据Bitdefender的报告,在2019年12月至2020年3月之间发布了大约40种不同版本(从4.0版到8.6版),包括新功能和改进。 根据bot二进制文件中的字符串和bot二进制文件的名称,该恶意软件可能是由希腊人Helios创建的.Helios是著名的僵尸网络开发人员,至少从2017年开始进行广告和销售DDoS服务和僵尸网络代码。

日益严重的威胁

尽管该恶意软件重复使用了Qbot和Mirai源代码的一部分,但Dark Nexus的开发人员已经创建了自己的核心模块,其中包括允许其为12种不同的CPU架构提供量身定制的有效负载的功能。 研究人员解释说:“就似乎受到dark_nexus危害的设备而言,列表范围很广,从各种路由器型号(例如Dasan Zhone,Dlink和ASUS)到录像机和热像仪,”。 为了找到其他可感染的物联网设备并向僵尸网络报告新添加的内容,Dark Nexus现在使用同步(发送有效载荷)和异步(将凭据报告给命令和控制服务器)Telnet扫描仪。 Dark Nexus使用Telnet凭据填充和漏洞利用,旨在滥用各种安全漏洞,以破坏一长串路由器模型。
Dark Nexus使用的蛮力凭证
Dark Nexus  (Bitdefender使用的蛮力凭证
过去,在使用远程代码执行(RCE)和针对多个设备的命令注入漏洞时观察到了该恶意软件。 根据试图针对Bitdefender的蜜罐尝试与Dark Nexus的攻击向量相匹配的攻击的IP地址,该僵尸网络目前由大约1,372个僵尸网络组成。 但是,鉴于快速的更新速度和可能受到危害的大量物联网目标,该僵尸网络的规模会非常迅速地增长。
Bitdefender的研究人员说: “随着dark_nexus的不断发展,可能会增加更多的设备模型。”

异国DDoS攻击和SOCKS5代理

报告说:“该机器人的启动代码与Qbot相似:它分叉几次,阻止多个信号并与终端分离。” “然后,按照Mirai的脉络,它将绑定到固定端口(7630),以确保该机器人的单个实例可以在设备上运行。该机器人试图通过将其名称更改为'/ bin / busybox'来掩饰自己。从Mirai借来的另一个功能是通过在虚拟设备上进行定期的ioctl调用来禁用看门狗。” 正如Bitdefender还发现的那样,Dark Nexus使用基于权重和阈值的评分系统,旨在评估在受感染设备上运行的进程所带来的风险。 然后,该恶意软件使用一个“杀手”模块,该模块自动终止它认为危险的进程,该进程不在感染该设备以来已产生的进程白名单中。 可以使用僵尸网络发起的攻击是在其他许多僵尸网络中也常见的标准DDoS攻击,但是,在受支持的DDoS变体之一中,还可以要求Dark Nexus试图掩盖它向目标扔出的恶意流量。 HTTP流量旨在模拟Web浏览器流量。
僵尸网络全球分布
僵尸网络全球发行版Bitdefender
Bitdefender还发现从5.0版开始,Dark Nexus就具有SOCKS5代理模块,但是,尚不清楚包含它的原因。 研究人员说:“ dark_nexus不是第一个具有这种功能的僵尸网络:TheMoon,Gwmndy,Omg僵尸网络和某些Mirai变体以前都具有socks5代理。” “可能的动机是在地下论坛上出售使用这些代理的权限。但是,我们还没有找到证据。” 为了在受感染的设备上保持持久性,早期版本的恶意软件甚至没有尝试使用其他僵尸网络使用的久经考验的策略。而是从用于重新启动受感染设备的可执行文件中删除了权限。 较新版本的恶意软件使用持久性脚本,该脚本会将用于自动初始化的命令集写入/etc/init.d/rcS或/home/start.sh文件。Dark Nexus还将清除所有iptables规则,以确保不会过滤C&C通信和DDoS负载。 为了保护您的IoT设备免受Dark Nexus僵尸网络发起的攻击,您应立即更改其默认管理员凭据并禁用通过Internet的远程访问。 完整报告链接:https://www.bitdefender.com/files/News/CaseStudies/study/319/Bitdefender-PR-Whitepaper-DarkNexus-creat4349-en-EN-interactive.pdf
0 0 vote
Article Rating

未经允许不得转载:x-sec » 新的物联网僵尸网络Dark Nexux,用发起分布式拒绝服务(DDoS)攻击。

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x