Botnet增加了尽可能多的设备类型

自从今年早些时候发现以来,隐藏和寻求物联网僵尸网络一直在增加其感染能力的新载体。最新示例查找启用了无线调试功能的Android设备。

虽然IoT僵尸网络每天都会出现并消失,但Hide&Seek在短短几天内就通过快速增长到超过90,000台设备而引起了人们的关注。

在最新版本中观察到的新感染机制没有利用漏洞,而是对设备的错误配置,这些设备通过WiFi提供有效的Android Debug Bridge连接。

默认情况下,Android已关闭此选项,但设备制造商在生产阶段启用它以定制其产品的操作系统。用户必须手动激活它。

成千上万的设备遭到感染

通过利用设备制造商的这种监督,Hide and Seek将其扩展到数以万计的潜在机器人。

自1月10日以来,Bitdefender的安全研究人员一直在跟踪僵尸网络,并监控新版本中添加的新功能。

“新发现的样本通过Android设备中的Wi-Fi功能利用Android调试桥(ADB)来增加功能,开发人员通常使用这些功能进行故障排除,” 高级电子威胁分析师Liviu Arsene

利用开放的ADB连接并不新鲜。它在2月份首次报道了一个掉线加密货币矿工的僵尸网络。

根据Bitdefender的说法,Hide and Seek可以为其机器人军队添加4万台新设备,其中大部分位于台湾,韩国和中国。

增长似乎是目前的目标

在与BleepingComputer的对话中,Bitdefender的首席安全研究员Alex Balan表示,僵尸网络目前的目的似乎是增加其规模,仅此而已。

虽然它支持数据泄露和代码执行的命令,但研究人员还没有看到它们被僵尸网络使用。此外,没有用于启动分布式拒绝服务攻击的模块,这是僵尸网络货币化的主要方法。

Botnet增加了尽可能多的设备类型

从一开始,Hide and Seek很清楚它并不关心它感染的设备类型。它首先针对IP摄像头,然后扩展到DVR,NVR和IPTV盒。现在Android设备也在它的视野中。

它的开发人员为多种架构编译了二进制文件,包括MIPS,ARM,Motorola 68020,SuperH,PowerPC,x86和x64。他们还开发了一种自定义P2P机制 来与其他受感染系统进行通信。

此外,恶意软件还添加了持久性功能,这使其能够在受感染的路由器上重新启动。

Hide and Seek现在使用的感染媒介包括telnet扫描和暴力破解,利用AVTECH IP Camera,NVR和DVR中的漏洞; 利用Wansview NCS601W相机中的漏洞,扫描特定于ADB连接的开放TCP端口5555,Arsene确认BleepingComputer。

  • 发表于:
  • 原文链接:https://www.bleepingcomputer.com/news/security/hide-and-seek-botnet-adds-infection-vector-for-android-devices/

扫码关注云+社区

领取腾讯云代金券