重启也没用！首款物联网僵尸网络恶意软件“肆意横行”！

近日，Canthink网络安全攻防实验室发现了第一个物联网僵尸网络恶意软件，在重启后它仍被保留在受感染的设备上，安全研究员将这种恶意软件命名为Hide and Seek（HNS），或称Hide'N Seek。

这无疑是物联网和路由器恶意软件领域的一场巨变，因为在这之前，用户总是通过重置设备来从他们的智能设备、调制解调器和路由器中移除物联网恶意软件。而现在，重置操作刷新了设备的闪存，设备将保留其所有工作数据，包括这种物联网恶意软件。

这种物联网恶意软件在某些情况下会将其自身复制到/etc/init.d/，这是一个在基于Linux的操作系统上放置守护程序脚本的文件夹，就像路由器和物联网设备上的守护程序脚本一样。由此，设备的操作系统将在重启后自动启动恶意软件的进程。

据悉，Canthink网络安全研究员于今年1月初首先发现了HNS恶意软件及其相邻的僵尸网络，该僵尸网络在同月底增长到约32000个。从发现至今，HNS已经感染了超90000种设备。

网络犯罪分子利用两个漏洞创建了初始僵尸网络，与其他物联网僵尸网络不同，它使用自定义的P2P协议来控制受感染的系统。而最新发现的HNS版本不仅增加了对其他两种攻击的支持，还增加了对强制攻击的支持。

这意味着受HNS感染的设备将扫描具有公开Telnet端口的其他设备，并尝试使用预设凭证列表登录该设备。Canthink研究员表示，HNS的作者也有时间调整这种强制性方案，因为恶意软件可以识别至少两种类型的设备，并尝试使用其出厂默认凭证登录到这些系统，而不是盲目猜测密码。此外，HNS代码库也收到更新，bot针对十种不同的设备体系结构已有十个不同的二进制文件。

不过，HNS无法获得所有受感染设备的引导许可：为了实现持久性，感染必须通过Telnet进行，因为需要root权限将二进制文件复制到init.d目录。此外，Canthink安全专家还表示，虽然HNS僵尸网络仍在进行，但恶意软件还难以支持DDoS攻击。

尽管如此，在受感染设备上窃取数据和执行代码的功能仍然存在，这意味着僵尸网络支持插件/模块系统，并且可以随时用任何类型的恶意代码进行扩展。