恶意软件作者建设“死亡”僵尸网络，利用旧AVTech FlawLike技术从babyHNS僵尸网络那窃取信息，同时也将目标转向AVTech设备

恶意软件作者EliteLands目前正在通过定位未修复的AVTech设备构建名为“Death”的僵尸网络。

黑客正在使用针对这些设备的漏洞来利用程序，这些漏洞已于2016年底发布。该漏洞利用了多个AVTech设备类型共享固件中的14个众所周知的漏洞，例如DVR，NVR，IP摄像头等。

这些较旧的固件版本以明文形式显示AVTech设备密码，并允许未经身份验证的攻击者将用户添加到现有设备。

NewSky Security的安全研究员Ankit Anubhav和发现这个僵尸网络的人今天告诉Bleeping Computer，EliteLands正在向AVTech设备添加新用户，但是是使用shell命令作为这些帐户的密码。

就像从婴儿那里拿糖果一样简单

这里的诀窍是这些旧的AVTech设备也容易受到命令注入漏洞的攻击，这使得设备将密码作为shell命令读取，从而允许黑客接管这些设备。

“因此，如果我将重启作为密码，AVTech系统将重新启动，”Anubhav告诉我们。“当然，死亡僵尸网络所做的不仅仅是重启。”

Anubhav说，黑客一直在为密码字段使用不同的有效负载，但最近才开始使用这些有效负载来构建他称为死亡的僵尸网络。

在这个有效载荷的最新版本中，Anubhav说EliteLands正在添加一个只有五分钟的执行其有效载荷的帐户，然后从受感染的设备中消失。

“这就像一个燃烧器帐户，”Anubhav告诉我们。“通常人们不会创建只有5分钟访问权限的新用户帐户。”

这个僵尸网络的大小是未知的，但它的构建方式却不是很麻烦。Anubhav说，他发现了超过1,200种可以利用物联网搜索引擎劫持的AVTech设备。

其中一些设备也可以通过Google dorks发现，虽然这些结果不那么准确，有时会返回不相关的URL。

Anubhav表示，这个僵尸网络的作者透露了他关于他的新玩法的一些计划。

“死亡僵尸网络还没有攻击任何重要的东西，但我知道它会，”EliteLands说。“死亡僵尸网络的目的仅仅是为了ddos，但我很快就有了更大的计划。我真的不会用它来攻击其他网络，我只是为了让客户意识到它具有强大的功能。”

HNS僵尸网络也瞄准了AVTech设备

值得赞扬的是，AVTech已经修补了2017年初 Death所利用的问题。已修补的固件版本已推出一年多。

在上个月开始，EliteLands用于构建死亡僵尸网络的漏洞与Hide'N Seek（HNS）僵尸网络在接管家用路由器扩展到劫持物联网设备时开始使用的漏洞相同。

截至6月底，AVTech 针对这些攻击向设备所有者发布了安全警报。尽管如此，安全说明仅建议用户更改密码，而不是应用固件更新，因为这是一个更可靠的办法。