【殺手育成中】 Dark Nexus殭屍病毒 Dlink、ASUS都係目標
呢隻橫空出現,堪稱空前但未必絕後嘅殭屍網絡叫做 Dark Nexus,普遍認為係由一個以開發殭屍網絡而出名嘅「greek.Helios」出品,佢由 2017 年開始,已經兜售緊分散式阻斷服務(DDos)同殭屍網絡編碼嘅人。
呢隻惡意程式沿用咗另外兩隻都好常見嘅殭屍網絡 Qbot 同 Mirai 部分原始碼, 再加上自家製嘅核心功能,包括可以針對 12 種唔同CPU架構而特製嘅 payloads 。根據名單顯示,Dark Nexus 攻擊到嘅路由器型號相當廣泛,港人常用嘅 Dlink、ASUS,以及Dasan、Zhone都榜上有名,而且由攝影機到熱像探測儀,都係攻擊目標。
Dark Nexus 已經出現咗三個幾月,期間發布過三個版本,根據防毒軟件商 Bitdefender 嘅資料顯示,至今至少有1372 部裝置成為咗 Dark Nexus 轄下嘅殭屍,主要遍布中國、韓國、泰國等。雖然暫時聽落唔多,但專家指 Dark Nexus 嘅更新周期極快,而且潛在可攻擊嘅 IoT 裝置數量又多,相信數字會急速上升。
為咗搵出存有漏洞嘅物聯網裝置,Dark Nexus 利用 Telnet 去掃描網絡上存在嘅 IoT 裝置,再通過暴力破解嘅方法遙距執行代碼漏洞,從而攻陷多種保安漏洞,令好多路由器都可以成為攻擊對象。
喺起始階段,Dark Nexus用咗同Qbot一樣嘅方式,就係製造多個fork(叉路) 指令,阻礙訊號傳遞,令裝置同終端機分離,繼而佢就利用Mirai 嘅特色,令惡意程式可以經指定端口(7630)執行,而Dark Nexus更加會改名做「/bin/busybox」去隱藏自己行蹤。
其實 Dark Nexus 發動嘅攻擊方式都幾常見,不過有一點有別於其他殭屍網絡,就係佢試圖將有惡意嘅流量,冒充為由瀏覽器生成嘅無害流量,而呢種特點可以話係相當複雜而可行。Dark Nexus 仲有個獨特功能,就係佢可以試圖阻止裝置重啟,一旦網絡被攻陷之後,裝置重啟權限嘅執行文件就會被刪除,令到受害者無辦法阻止入侵繼續發生。要防止入侵發生,專家建議用戶即刻更改登入密碼,以及停止遙距登入功能,咁就可以保障到自己㗎喇。
資料來源:https://bit.ly/2Y9pHDW 、https://bit.ly/2VZWx7N