Dark Nexus僵尸网络盘点
发布时间:2021-12-21 06:41:49 所属栏目:安全 来源:互联网
导读:Bitdefender 安全研究人员发现了一款新出现的IoT僵尸网络Dark Nexus。Dark Nexus利用被黑的智能设备来发起DDoS攻击,通过平台来提供DDoS 租赁服务。 研究人员发现Dark Nexus 通过凭证填充对路由器(Dlink、ASUS等知名品牌)、视频录像机、温感摄像机等不同
|
Bitdefender 安全研究人员发现了一款新出现的IoT僵尸网络——Dark Nexus。Dark Nexus利用被黑的智能设备来发起DDoS攻击,通过平台来提供DDoS 租赁服务。 研究人员发现Dark Nexus 通过凭证填充对路由器(Dlink、ASUS等知名品牌)、视频录像机、温感摄像机等不同种类的设备发起攻击,使其加入到僵尸网络中来。截止目前,Dark Nexus 入侵了至少1372个主机充当逆向代理,涉及中国、韩国、 泰国、巴西和俄罗斯。 僵尸主机使用了2个模块来进行一个传播,一个是同步模块,另一个是异步模块。在开启同步扫描器时,僵尸主机会生成一个执行init_syn_bruter函数的进程。在异步机制中,C2会发布一个特定的命令,指明IP和端口。这些信息保存在一个队列——dynamic_queue_head中。僵尸主机会维护一个大小为250的连接列表——bruting_conns。主僵尸主机进程会服用这些连接创建的socket。此外,还会周期性地检查所有连接的timeout,包括到C2的连接。在与C2通信时,就发送一个注册消息。 同步sync (init_syn_bruter)和异步async (fd_event) 机制中都实现了Telnet 协议,并尝试通过预定义的凭证以暴力破解的方式来进行认证。当同步暴力破解器报告受害者给报告服务器时,事实上是发送了一个感染payload,异步机制只通过C2 socket发送一个含有IP、端口和发现的凭证的消息。在一些版本中,异步报告器也会报告给报告服务器(维持蠕虫行为)。通信方法也是不同的,有些样本中是通过TCP 12000或13000端口,有些是通过UDP的12000或13000端口,有的是通过C2 socket(TCP 30047端口)。 (编辑:三明站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
