freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

Linux Remaiten恶意软件正在部署物联网设备僵尸网络
2016-04-03 12:00:55

EJ7VFjm.png!web.png

ESET安全公司的研究人员发现一款恶意软件,以物联网设备如路由器、网关和无线接入点等为攻击目标。

“Bot后门”与“扫描器”的杂交

该恶意程序被称为KTN-Remastered 或 KTN-RM,是Tsunami (或 Kaiten)以及 Gafgyt的结合。Tsunami是众所周知的IRC(互联网中继聊天)Bot后门,被恶意攻击者用于发起DDOS攻击,而Gafgyt用于远程登录扫描。

KTN-RM,研究人员也称其为“Remaiten",通过下载可执行的恶意二进制文件,感染嵌入式平台和其他连接设备。

ESET公司在官方微博上发布的文章中这样说道:

“最近,我们发现了一个结合了Tsunami(也称为Kaiten)和Gafgyt的功能的恶意软件,此外,它还具备一些改进和新增功能。我们把这种新的威胁称之为Linux / Remaiten。到目前为止,我们已经发现Linux / Remaiten的三个版本,版本2.0,2.1和2.2。根据代码显示结果,发现者将这种新的恶意软件称之为“KTN-Remastered” 或是 “KTN-RM”。”

Linux恶意软件是如何运行的?

该恶意软件首先进行远程登录扫描,寻找路由器和智能设备。一旦连接成功,恶意软件将对登录凭据进行猜测,试图掌控一些存在弱口令的设备。

如果成功登录,恶意软件会发出一个shell命令给下载机器人,下载针对多种系统架构的恶意二进制文件,随后将其运行在受损系统上。

ESET的安全研究人员还发现,这些二进制文件包括C&C服务器的IP地址硬编码列表,机器人还将受感染的设备信息(即IP地址、登录凭据、感染状态)发送至控制服务器上。

“当指令执行远程登录扫描,它会尝试连接23端口的随机IP地址。如果连接成功,它会尝试从用户名/密码组合的嵌入列表中猜测登录凭据。如果成功登录,它会发出一个shell命令给下载机器人,下载针对多种架构的恶意二进制文件,并试图运行它们。这是一个尽管看起来略显繁琐却很简单的感染新的设备的方式,因为很可能就存在一个二进制文件可以在运行程序中执行。”

了解更多技术细节,请点击ESET于本周三公布的官方博客文章查看。

*原文链接:tuicool、securityaffairs,FB小编米雪儿编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

# 僵尸网络 # 恶意软件 # IoT
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦