HNS：从物联网扩展至跨平台的僵尸网络

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

今年年初出现的HNS（“捉迷藏”）僵尸网络刚开始感染物联网设备，而现在已开始针对跨平台数据库解决方案。

这是僵尸网络的重要发展阶段，它是首个在设备重启后仍然存活下来的物联网僵尸网络。

HNS 攻击更多设备

奇虎360公司 Netlab 研究团队发现，HNS 的感染对象已从路由器和 DVR 扩展至运行服务器操作系统的数据库应用。

研究人员指出，HNS 目前能够通过如下类型的利用感染如下设备类型：

1. TPLink-Routers RCE

2. Netgear RCE

3. （新）AVTECH RCE

4. （新）CISCO Linksys Router RCE

5. （新）JAW/1.0 RCE

6. （新）OrientDB RCE

7. （新）CouchDB RCE

作为增加更多 payload 的副作用，HNS 的噪音更多，因为它需要扫描更多的端口来找到更多主机实施感染。专家表示发现 HNS 僵尸在如下端口启动扫描：

23Telnet

80HTTP Web Service

2480OrientDB

5984CouchDB

8080HTTP Web Service

以及随机端口

不过 HNS 易于发现，因为它是除了 Hajime 之外使用 P2P 结构的第二大物联网僵尸，因此对于研究人员而言并不难以发现。

HNS 测试密币挖矿 payload

HNS 并非首个针对OrientDB 服务器的僵尸网络，该服务器非常受各僵尸网络的欢迎。例如，于去年发现的僵尸网络DDG 在今天仍然呈活跃状态，它过去通过密币挖掘恶意软件攻击 OrientDB 服务器。

实际上，HNS 操纵人员可能从 DDG 组织学到了一些东西，因为研究人员表示，HNS 已开始在某些受感染系统中释放密币挖掘 payload。

幸运的是，目前看似这些部署均已失败，因为其它的密币挖掘 payload 未能开始为 HNS 操纵人员提供资金。但如果能成功运行，则会给攻击者带来一些利益，如 DDG 就在去年通过密币挖掘牟利100多万美元。

https://www.bleepingcomputer.com/news/security/hns-evolves-from-iot-to-cross-platform-botnet/