ESET安全公司的研究人員發(fā)現(xiàn)一款惡意軟件,以物聯(lián)網(wǎng)設(shè)備如路由器、網(wǎng)關(guān)和無(wú)線接入點(diǎn)等為攻擊目標(biāo)。
Bot后門(mén)”與“掃描器”的雜交
該惡意程序被稱為KTN-Remastered 或 KTN-RM,是Tsunami (或 Kaiten)以及 Gafgyt的結(jié)合。Tsunami是眾所周知的IRC(互聯(lián)網(wǎng)中繼聊天)Bot后門(mén),被惡意攻擊者用于發(fā)起DDOS攻擊,而Gafgyt用于遠(yuǎn)程登錄掃描。
KTN-RM,研究人員也稱其為“Remaiten”,通過(guò)下載可執(zhí)行的惡意二進(jìn)制文件,感染嵌入式平臺(tái)和其他連接設(shè)備。
ESET公司在官方微博上發(fā)布的文章中這樣說(shuō)道:
“最近,我們發(fā)現(xiàn)了一個(gè)結(jié)合了Tsunami(也稱為Kaiten)和Gafgyt的功能的惡意軟件,此外,它還具備一些改進(jìn)和新增功能。我們把這種新的威脅稱之為L(zhǎng)inux/ Remaiten。到目前為止,我們已經(jīng)發(fā)現(xiàn)Linux / Remaiten的三個(gè)版本,版本2.0,2.1和2.2。根據(jù)代碼顯示結(jié)果,發(fā)現(xiàn)者將這種新的惡意軟件稱之為“KTN-Remastered” 或是 “KTN-RM”。”
Linux惡意軟件是如何運(yùn)行的?
該惡意軟件首先進(jìn)行遠(yuǎn)程登錄掃描,尋找路由器和智能設(shè)備。一旦連接成功,惡意軟件將對(duì)登錄憑據(jù)進(jìn)行猜測(cè),試圖掌控一些存在弱口令的設(shè)備。
如果成功登錄,惡意軟件會(huì)發(fā)出一個(gè)shell命令給下載機(jī)器人,下載針對(duì)多種系統(tǒng)架構(gòu)的惡意二進(jìn)制文件,隨后將其運(yùn)行在受損系統(tǒng)上。
ESET的安全研究人員還發(fā)現(xiàn),這些二進(jìn)制文件包括C&C服務(wù)器的IP地址硬編碼列表,機(jī)器人還將受感染的設(shè)備信息(即IP地址、登錄憑據(jù)、感染狀態(tài))發(fā)送至控制服務(wù)器上。
“當(dāng)指令執(zhí)行遠(yuǎn)程登錄掃描,它會(huì)嘗試連接23端口的隨機(jī)IP地址。如果連接成功,它會(huì)嘗試從用戶名/密碼組合的嵌入列表中猜測(cè)登錄憑據(jù)。如果成功登錄,它會(huì)發(fā)出一個(gè)shell命令給下載機(jī)器人,下載針對(duì)多種架構(gòu)的惡意二進(jìn)制文件,并試圖運(yùn)行它們。這是一個(gè)盡管看起來(lái)略顯繁瑣卻很簡(jiǎn)單的感染新的設(shè)備的方式,因?yàn)楹芸赡芫痛嬖谝粋€(gè)二進(jìn)制文件可以在運(yùn)行程序中執(zhí)行。”